如果会话 cookie 是安全的,则 CSURF 不工作
CSURF not working if the Session cookie is secure
我很困惑,当我将 cookie 设置为安全时,节点的 csrf 不工作。
//Load Cooike Parser
app.use(cookieParser(secret));
//Load Session Store
app.use(require('express-session')({
secret:secret,
cookie:{
maxAge: 1000 * 60 * 60 * 24, // 1 day,
secure: true,
httpOnly: true
},
store: sessionStore
}));
//Load POST data parser
//Form sent should be in JSON format
app.use(bodyParser.json());
//Initiate CSRF on middleware
//set the CSRF cookie Header
app.use(csrf());
app.use(function(req,res,next){
res.cookie('XSRF-TOKEN',req.csrfToken());
next();
});
此设置使用 MongoDB 来存储会话数据。阅读 express-session 文档,我发现了这个 ...
Please note that secure: true is a recommended option. However, it requires an https-enabled website, i.e., HTTPS is necessary for secure cookies. If secure is set, and you access your site over HTTP, the cookie will not be set. If you have your node.js behind a proxy and are using secure: true, you need to set "trust proxy" in express:
我目前在本地 运行 站点,因此它不是 HTTPS。我想知道 secure:true 与未通过 csrf 测试有什么关系?
由于提供的代码示例未涵盖表单的创建,因此我假设您正确包含了 _csrf 值。或者你设置相应的 header 为 JavaScript.
让我们先解释一下为什么你不应该做 res.cookie('XSRF-TOKEN',req.csrfToken());。
csurf 模块的默认工作方式是在 运行 req.csrfToken() 时生成或 returns _csrf 令牌,但它也会保存此session.
中的令牌
如果您想使用 cookie 而不是 session 作为存储方法,您应该将 cookie: true 或 cookie: cookieOptions 作为初始化值传递给 csurf 而不是手动设置 cookie。
这是相关的,因为如果您不使用预期的选项参数,csurf 将尝试从 session object 中查找令牌值以进行验证,这意味着你的 cookie 设置没用。
现在说一下它在 HTTPS 上失败的部分。
当您设置 secure: true 时,它所做的是使用 secure 标志从服务器向浏览器发送 cookie。
根据 OWASP page:
The secure flag is an option that can be set by the application server when sending a new cookie to the user within an HTTP Response. The purpose of the secure flag is to prevent cookies from being observed by unauthorized parties due to the transmission of a the cookie in clear text.
To accomplish this goal, browsers which support the secure flag will only send cookies with the secure flag when the request is going to a HTTPS page. Said in another way, the browser will not send a cookie with the secure flag set over an unencrypted HTTP request.
这包括 session 令牌 cookie,用于在 sessionStore 中查找信息。
因此浏览器不会向服务器发送 session cookie。服务器创建一个新的空 session,因为我们回到了默认的 csurf 操作方法,它将尝试从空 session 中查找令牌。不会有令牌,所以比较会失败。
附带说明一下,这也意味着您的 session 通常会失败。
注意!作为旁注,如果您更感兴趣,我建议您阅读 OWASP CSRF mitigation cheatsheet. Or my book about Node.js Web Application Security,其中包括 CSRF 和使用 Node.js.
实现的各种缓解方法。
我很困惑,当我将 cookie 设置为安全时,节点的 csrf 不工作。
//Load Cooike Parser
app.use(cookieParser(secret));
//Load Session Store
app.use(require('express-session')({
secret:secret,
cookie:{
maxAge: 1000 * 60 * 60 * 24, // 1 day,
secure: true,
httpOnly: true
},
store: sessionStore
}));
//Load POST data parser
//Form sent should be in JSON format
app.use(bodyParser.json());
//Initiate CSRF on middleware
//set the CSRF cookie Header
app.use(csrf());
app.use(function(req,res,next){
res.cookie('XSRF-TOKEN',req.csrfToken());
next();
});
此设置使用 MongoDB 来存储会话数据。阅读 express-session 文档,我发现了这个 ...
Please note that secure: true is a recommended option. However, it requires an https-enabled website, i.e., HTTPS is necessary for secure cookies. If secure is set, and you access your site over HTTP, the cookie will not be set. If you have your node.js behind a proxy and are using secure: true, you need to set "trust proxy" in express:
我目前在本地 运行 站点,因此它不是 HTTPS。我想知道 secure:true 与未通过 csrf 测试有什么关系?
由于提供的代码示例未涵盖表单的创建,因此我假设您正确包含了 _csrf 值。或者你设置相应的 header 为 JavaScript.
让我们先解释一下为什么你不应该做 res.cookie('XSRF-TOKEN',req.csrfToken());。
csurf 模块的默认工作方式是在 运行 req.csrfToken() 时生成或 returns _csrf 令牌,但它也会保存此session.
如果您想使用 cookie 而不是 session 作为存储方法,您应该将 cookie: true 或 cookie: cookieOptions 作为初始化值传递给 csurf 而不是手动设置 cookie。
这是相关的,因为如果您不使用预期的选项参数,csurf 将尝试从 session object 中查找令牌值以进行验证,这意味着你的 cookie 设置没用。
现在说一下它在 HTTPS 上失败的部分。
当您设置 secure: true 时,它所做的是使用 secure 标志从服务器向浏览器发送 cookie。
根据 OWASP page:
The secure flag is an option that can be set by the application server when sending a new cookie to the user within an HTTP Response. The purpose of the secure flag is to prevent cookies from being observed by unauthorized parties due to the transmission of a the cookie in clear text.
To accomplish this goal, browsers which support the secure flag will only send cookies with the secure flag when the request is going to a HTTPS page. Said in another way, the browser will not send a cookie with the secure flag set over an unencrypted HTTP request.
这包括 session 令牌 cookie,用于在 sessionStore 中查找信息。
因此浏览器不会向服务器发送 session cookie。服务器创建一个新的空 session,因为我们回到了默认的 csurf 操作方法,它将尝试从空 session 中查找令牌。不会有令牌,所以比较会失败。
附带说明一下,这也意味着您的 session 通常会失败。
注意!作为旁注,如果您更感兴趣,我建议您阅读 OWASP CSRF mitigation cheatsheet. Or my book about Node.js Web Application Security,其中包括 CSRF 和使用 Node.js.
实现的各种缓解方法。