在 Express.js 中实现CSRF保护通常涉及几个步骤。以下是一个使用 csurf 中间件库来帮助防止CSRF攻击的示例。首先，你需要安装必要的依赖：

安装中间件： 首先，你需要安装csurf这个npm包。可以通过运行下面的命令来安装它：

npm install --save csurf

设置中间件： 接下来，在你的Express应用中设置csurf中间件。这通常是在你的主应用文件或路由处理程序中完成的。

const express = require('express');
const csurf = require('csurf');
const app = express();

// 设置视图引擎为EJS或任何你喜欢的模板引擎
app.set('view engine', 'ejs');

// 创建一个CsrfProtection对象
const csrfProtection = csurf({ cookie: true });

// 使用中间件
app.use('/some-protected-route', csrfProtection, (req, res, next) => {
    // 你可以在这里访问req.csrfToken()来获取CSRF令牌
    next();
});

// 定义路由处理函数
app.get('/some-protected-route', (req, res) => {
    res.render('some-template', { csrfToken: req.csrfToken() });
});

app.post('/some-protected-route', (req, res) => {
    // 在这里处理POST请求
    // ...
});

app.listen(3000, () => console.log('Listening on port 3000.'));

发送CSRF令牌到客户端： 当用户请求一个需要保护的页面时，服务器应该返回一个包含CSRF令牌的响应。通常，这个令牌会通过一个隐藏的表单字段或作为HTTP头部的一部分传递给客户端。

在客户端（HTML模板）中，你需要确保在表单中包含了这个令牌：

<form method="POST" action="/some-protected-route">
    <!-- 其他表单字段 -->
    <input type="hidden" name="_csrf" value="<%= csrfToken %>">
    <button type="submit">Submit</button>
</form>

这里的关键点是服务器端生成一个唯一的CSRF令牌，并将其通过安全的方式（如通过HTTPS并且存储在一个安全的、HttpOnly的cookie中）发送给客户端，然后客户端在提交表单或发起请求时把这个令牌包含进去。服务器接收到请求后会验证这个令牌的有效性。

请注意，上述代码示例中的路径和端口是假设性的，你需要根据你的应用程序进行相应的调整。同时，请确保在生产环境中使用HTTPS来增强安全性。

参考：CRSF 跨站脚本攻击已死，使用 Same-Site Cookies 来防范 CSRF

修改时间 2024-09-28



真诚赞赏，手留余香

微信支付