使用nodejs防止csurf攻击的方法

本文介绍了CSRF(跨站请求伪造)的概念、攻击原理及其在实际中的应用案例,并提供了使用node.js进行防御的具体方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.CSRF是什么?

  CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二.CSRF可以做什么?

  你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

三.CSRF漏洞现状

  CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

四.CSRF的原理

  下图简单阐述了CSRF攻击的思想:

  

  从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1.登录受信任网站A,并在本地生成Cookie。

  2.在不登出A的情况下,访问危险网站B。

以上内容转自 hydd 的博文 《浅谈CSRF攻击方式》

 四.nodejs防止CSURF攻击的方法:

  1)安装csurf和express-session包,因为csurf包依赖express-session包,所以两个依赖包都要安装   

cnpm  insatll csurf --save
cnpm  install express-session --save

  2)安装完依赖后,先在app.js文件中引入express-session模块,该模块的引入放在路由的前面,不然会报错

var session = require('express-session');
app.use(session({        //生成一个session实例
    secret: 'keyboard cat',
    resave: false,
    saveUninitialized: false,
}));

  3)使用csurf模块

var csurf = require('csurf');   //引入模块

var csrfProtection = csurf();   //设置路由中间件
router.use(csrfProtection);    

router.get('/user/signup',function(req,res,next){
    res.render('user/signup',{
        csrfToken: req.csrfToken() 
    }); 
});

  4)隐藏csrfToken

<input type="hidden" class="form-control" name="_csrf" value="{{csrfToken}}">

  

 

转载于:https://www.cnblogs.com/y-yxh/p/5761941.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值