0
私はプロジェクトを書かれているし、それが生産段階だと私は偶然私のコードにバグを発見したの近くにそれはだcsurfノード:エラーなしで何度も使用CSRFトークンが
私のプロジェクトは、私は多くの形式を持っているページがありますました私はそれらを投稿するためにajaxを使用し、私はすべてのajaxリクエストのcsrfトークンを更新していないことがわかりました。私のcsurf-npmモジュールは何のエラーも投げていません。
私のプロジェクト私はここにそれを書くことができないので、とても大きいですが、私はそれを使用している唯一の場所は以下のとおりです。私のルータで
var csrfProtection = require("csurf")({cookie: true});
:
router.post(csrfProtection(),/*some BILIBILI function*/);
と私は」私はAjaxで自分のフォームを投稿ページにこれを送るメートル:
req.csrfToken();
は、君たちは私に何が起こっているかを把握することができます。
は、トークンがセッションのために一意であることができ、あなたが
私はそれが問題だとは思わない、トークンはセッションのために一意にすることができます。 https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Synchronizer_.28CSRF.29_Tokens –
@GabrielBleuありがとう、私はreq.csrfToken()を使用するたびに再作成されたと思っていますそれはあなたのセッションが変更されていない場合でも別のcsrfTokenを与えるでしょう)セッションに保存されたキーを持つ方法を実装していると思ってトークンの復号化に使用され、いつでも再作成されます –
how私はこの質問に答えてマークすることができますか? –