5

Express v3アプリにCSRFをセットアップしましたが、次のようにしています:

app.use(express.session({
  secret: "gdagadgagd",
  cookie: {
    httpOnly: true,
    path : '/',
    maxAge: 1000*60*60*24*30*12
  }
}));
app.use(express.csrf());
app.use(function(req, res, next) {
  res.locals.token = req.session._csrf;
  next();
})

私のページでは、トークンは次のように表示されます。

<input type="hidden" name="_csrf" value="E3afFADF3913-fadFK31">

しかし、自分の Web ページに登録しようとすると、次のエラーが表示されます。

Error: Forbidden
    at Object.exports.error (/Users/account/Desktop/nodeapp/node_modules/express/node_modules/connect/lib/utils.js:55:13)
    at Object.handle (/Users/account/Desktop/nodeapp/node_modules/express/node_modules/connect/lib/middleware/csrf.js:54:41)
    at next (/Users/account/Desktop/nodeapp/node_modules/express/node_modules/connect/lib/proto.js:190:15)
    at next (/Users/account/Desktop/nodeapp/node_modules/express/node_modules/connect/lib/middleware/session.js:313:9)
    at /Users/account/Desktop/nodeapp/node_modules/express/node_modules/connect/lib/middleware/session.js:337:9
    at /Users/account/Desktop/nodeapp/node_modules/express/node_modules/connect/lib/middleware/session/memory.js:50:9
    at process._tickCallback (node.js:415:13)

テンプレートエンジンとしてJadeを使用していますが、これは私が持っているものです:

input(type='hidden', name='_csrf', value=token)

localhost:3000 で Web ページに直接アクセスしていますが、アカウントの登録が禁止されている理由がわかりません。ありがとう!

4

1 に答える 1

3

渡されたことをサーバーに知らせるには、bodyParserミドルウェアを使用する必要があります。_csrf

app.use(express.bodyParser());の前に挿入しapp.use(express.csrf());ます。

于 2013-04-21T12:09:47.943 に答える