node.js - Graphql 无效的 CSRF 令牌
问题描述
我想在 express 服务器中实现 graphql,但是由于在服务器 graphql 中使用 csurf 给出了这个错误: ForbiddenError: invalid csrf token。而且我不知道如何在侧 graphql 系统中使用 csrf 保护。如果有人知道,请告诉我
ForbiddenError:csrf 处的 csrf 令牌无效 (G:\Project\API\UserManagement\node_modules\csurf\index.js:112:19)
import express from 'express';
import mongoose from 'mongoose';
import bodyParser from 'body-parser';
import passport from 'passport';
import path from 'path';
import session from 'express-session';
import cookieParser from 'cookie-parser'
import cors from 'cors';
import csrf from 'csurf';
import xssFilter from 'x-xss-protection';
import hpp from 'hpp';
import helmet from 'helmet';
import userRouter from '../routes/userRouter';
import rootRouter from '../routes/rootRouter';
import expressGraphql from 'express-graphql';
import schema from '../schema';
require('../services/passport');
/////////////////START DATABASE CONFIG///////////////////////////
mongoose.connect(process.env.DB_ADDRESS,{ useNewUrlParser: true });
mongoose.connection.on('connected' ,()=>{console.log("connection established successfully")});
mongoose.connection.on('error' ,(err)=>{console.log('connection to mongo failed ' + err)});
mongoose.connection.on('disconnected',()=>{console.log('mongo db connection closed')})
mongoose.set('useCreateIndex', true);
mongoose.Promise = global.Promise;
/////////////////END DATABASE CONFIG///////////////////////////
const app = express();
app.use(helmet())
app.use(helmet.noSniff())
app.use(helmet.ieNoOpen())
/////////////////START APP MIDDLEWARE///////////////////////////
require('dotenv').config({
path:path.resolve(process.cwd(),'config/keys/.env')
})
app.use(cookieParser())
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({extended:true}))
app.use(hpp())
app.disable('x-powered-by')
const whiteList = [process.env.CORS_APPROVED_ADDRESS,`http://localhost:${process.env.PORT}`];
const corsOptionsDelegate = {
origin:(origin,cb)=>{
( whiteList.indexOf(origin) !== -1 || !origin)?
cb(null,true)
:cb(new Error('Not allowed by CORS'));
}
}
app.use(cors(corsOptionsDelegate))
///////////////END APP MIDDLEWARE///////////////////////////
let RedisStore = require('connect-redis')(session);
app.use(session({
secret:"3f9faa8bc0e722172cc0bdafede9f3f217474e47",
resave:false,
saveUninitialized:false,
store:new RedisStore({
prefix:"session:auth:"
}),
cookie:{
maxAge:30 * 24 * 60 * 60 * 1000,
httpOnly:true,
}
}))
app.use(csrf())
app.use(xssFilter())
app.use(passport.initialize())
app.use(passport.session())
////////////////START GRAPHQL CONFIG///////////////////////////
app.use('/graphql',expressGraphql({
schema,
graphiql:true
}))
////////////////START ROUTER CONFIG///////////////////////////
app.use('/',userRouter)
app.use('/',rootRouter)
/////////////////END ROUTER CONFIG///////////////////////////
export default app;
解决方案
cookie:{
maxAge:30 * 24 * 60 * 60 * 1000,
httpOnly:true,
sameSite: "lax", //csrf security
}
sameSite:"lax"
将处理 csrf 安全性。更多:
推荐阅读
- python - 熊猫拆分每周时间序列和按月分组
- javascript - 拦截来自不是我的网站的网络请求以提供网页是否合法?
- python - Pyautogui 声明一个变量
- php - 如何通过 Laravel Query builder 转换一个简单的查询
- scala - 在状态单子中使用 flatMap 映射时类型推断失败
- java - 如何聚合 AtomicReferenceArray?
- c# - 使用 LINQ 的 OrderBy 对包含数字和字符的项目的数组进行排序无法正常工作
- python - XKCD Web Scraper - 自动化无聊的东西
- django - 为模态表单调整现有的 django 站点
- javascript - 获取 AWS STS 的假设角色WithSAML 的 SAMLAssertion