node.js - multer和csrf保护
问题描述
如果 multer 出现错误,例如无效的文件格式,则 csrf 保护将失败(无效令牌)。
那是因为 csrf 保护是在 multer 之后配置的。
但是如果我在 multer 之前添加它,csrf 保护也会失败。我得到:'无效的 csrf 令牌'。
如何在保持 csrf 保护的情况下抛出 multer 错误?
下面的错误被抛出cb('INVALID FILE!!!', false);,并被快速错误处理中间件捕获。但是 csrf 令牌将丢失。
const csrfProtection = csrf();
const fileStorage = multer.diskStorage({
destination: (req, file, cb) => {
cb(null, 'images');
},
filename: (req, file, cb) => {
cb(null, new Date().toISOString().replace(/:/g, '-') + '-' + file.originalname);
}
});
const fileFilter = (req, file, cb) => {
if (
file.mimetype === 'image/png' ||
file.mimetype === 'image/jpg' ||
file.mimetype === 'image/jpeg'
) {
cb(null, true);
} else {
cb('INVALID FILE!!!', false);
}
};
app.set('view engine', 'ejs');
app.set('views', 'views');
const adminRoutes = require('./routes/admin');
const shopRoutes = require('./routes/shop');
const authRoutes = require('./routes/auth');
app.use(bodyParser.urlencoded({ extended: false }));
app.use(
multer({ storage: fileStorage, fileFilter: fileFilter }).single('image')
);
app.use(express.static(path.join(__dirname, 'public')));
app.use('/images', express.static(path.join(__dirname, 'images')));
app.use(
session({
secret: 'my secret',
resave: false,
saveUninitialized: false,
store: store
})
);
app.use(csrfProtection);
app.use(flash());
app.use((req, res, next) => {
res.locals.isAuthenticated = req.session.isLoggedIn;
res.locals.csrfToken = req.csrfToken();
next();
});
app.use((req, res, next) => {
if (!req.session.user) {
return next();
}
User.findById(req.session.user._id)
.then(user => {
if (!user) {
return next();
}
req.user = user;
next();
})
.catch(err => {
next(new Error(err));
});
});
app.use('/admin', adminRoutes);
app.use(shopRoutes);
app.use(authRoutes);
app.get('/500', errorController.get500);
app.use(errorController.get404);
app.use((error, req, res, next) => {
console.log(error);
res.status(500).render('500', {
pageTitle: 'Error!',
path: '/500',
isAuthenticated: req.session.isLoggedIn
});
});
简而言之:为什么我不能在 multer 之前设置 csrf 保护?
如果我真的不能,我怎么能抛出一个 multer 错误,并在我的应用程序中继续使用 csrf ?
解决方案
我已经弄清楚了所有的解释。
multer 按顺序查看每个输入。如果图像字段中有错误(例如我的“无效文件”错误),它将引发错误,但在我的错误处理中间件中,我的 req.body 将仅包含最多但不包括图像字段的表单数据.
这意味着我可以在我的表单 html 中将隐藏的 csrf 输入字段移动到图像输入字段之前的任何位置。
所以现在,当 multer 抛出错误时,我可以使用 req.body._csrf 访问当前的 csrf 值。请注意,在这种情况下,我不应该在错误处理中间件中使用 req.csrfToken() ,因为这将设置一个新令牌以在下一个渲染视图中使用。在这里,它是一个“post”路由,所以我需要使用首先在 html 中加载的 csrf 令牌(“get”路由)。
推荐阅读
- plot - Matlab plot 从命令窗口而不是从函数内部生成图形
- powershell - 你如何调用rest方法powershell来获取访问令牌
- pytorch - PyTorch 的 torch.autograd.grad 中 grad_outputs 的含义
- javascript - CSS:使属性忽略过渡时间而不使用 jQuery
- flutter - VS Code - 屏幕中间的一行
- javascript - 如何获取 JSON 对象并放入 CSS
- c# - 空的 ASP.NET Core (.NET 5.0) 项目不断为针对它执行的每个请求使用更多 RAM
- javascript - 在 for 循环中使用 Promise,所有的 .then 总是被调用,直到所有第一个 .then 完成运行,这是为什么呢?
- ms-access - 前端,具有不同 Access 和 Windows 版本的多个用户
- php - Laravel SEO 友好的 URL