错误:缺少CSRF令牌,hackathon-starter加上AngularJS

时间:2015-05-08 12:35:46

标签: angularjs node.js express csrf-protection

我将AngularJS整合到hackathon-starter中。这是我提到here并使用以下test.html和test.controller.js

完成的 
<div>
    The record: {{record}}
</div>

<div align="right">
    <button class="btn btn-lg btn-primary" ng-click="createRecord()" onclick="window.location.href='/order/shipping'">
        <i class=""> Create record</i>
    </button>
</div>

test.controller.js 

(function () {

'use strict';
var injectParams = ['$scope', '$location', '$http'];

function TestController($scope, $location, $http) {

    $scope.record = {
        interId: 1,
        sku: '107k',
        category: 'Useful'
    };

    function createRecord(record) {
        return $http.post('/order/create', record).then(function (response) {
            return response.data;
        })
    }

    $scope.createRecord = function () {

        var record = $scope.record;

        createRecord(record)
            .then(function (data) {
                if (data.success) {
                    return $location.url('/shipping');
                }
                alert('Something wrong...');
            });
    }
};

TestController.$inject = injectParams;

angular.module('miniApp')
    .controller('TestController', TestController);
}());

如果csrf的值设置为false,则可以使用,如:

 app.use(lusca({
    csrf: false,
    xframe: 'SAMEORIGIN',
    xssProtection: true }));

当csrf的值设置为true时,会出现错误: 错误:缺少CSRF令牌

解决此问题的其中一个选项是请求&#39; / order / create&#39; lusca配置之前的路径,如:

app.post('/order/create', passportConf.isAuthenticated, orderController.postCreateOrder);
app.use(lusca({
csrf: true,

...

但是这个解决方案不太优雅。

另一个选择是CSRF中间件内的whitelist dynamic URLs using regular expression。我试过这种方法,但我缺乏经验,如何正确地做到这一点。 如何使用白名单解决此问题(具体示例)?

我可能错了,但应该可以在test.controller.js中传递csrf。怎么做我不知道。所以,如果有人提供具体的例子,那就太好了。

使用白名单的解决方案将被排除在外,因为我无法弄清楚如何使其发挥作用。

1 个答案:

答案 0 :(得分:6)

据我所知,lusca内置了任何易于配置的CSRF白名单,hackathon-starter也没有。从您linked article的措辞方式来看,听起来他们希望您自己在自己的自定义中间件中进行白名单。为此,我认为您可能需要单独放弃app.use(lusca({}))来电,而不是app.use()每个lusca中间件,如下所示:

var csrfMiddleware = lusca.csrf();
app.use(function(req, res, next) {
    // Paths that start with /foo don't need CSRF
    if (/^\/foo/.test(req.originalUrl)) {
        next();
    } else {
        csrfMiddleware(req, res, next);
    }
});

app.use(lusca.csp({ /* ... */}));
app.use(lusca.xframe('SAMEORIGIN'));
app.use(lusca.p3p('ABCDEF'));
app.use(lusca.hsts({ maxAge: 31536000 }));
app.use(lusca.xssProtection(true));
相关问题
最新问题