newbie. J'utilise expressjs / noeud. Voici mes trucs de configuration:
module.exports = function csrf(options) { var options = options || {} , value = options.value || defaultValue; return function(req, res, next){ // generate CSRF token var token = req.session._csrf || (req.session._csrf = utils.uid(24)); // ignore GET (for now) if ('GET' == req.method) return next(); // determine value var val = value(req); // check if (val != token) return utils.forbidden(res); next(); } };
4 Réponses :
Ajoutez le jeton aux aides dynamiques.
input(type='hidden', value=token)
Les aides dynamiques ont été supprimés de Express depuis 3.x. P>
La nouvelle utilisation serait app.use (express.csrf ()); code>, qui vient de Connectez . P>
dans input(type="hidden", name="_csrf", value="#{csrf}")
Si vous souhaitez également définir un cookie sécurisé pour votre jeton CSRF pouvant être lu par votre frontal (angulaire par exemple), vous pouvez le faire:
app.use csrf() app.use (req, res, next) -> res.cookie('XSRF-TOKEN', req.csrfToken(), {secure: true}) next()