Как правильно сделать запрос на сервер с csurf?

Question

Иоанн @ioangrozniy

Как правильно сделать запрос на сервер с csurf?

Сломал себе всю голову как сделать финт ушали.
Делаю приложуху на vue.
Для теста надо сделать post ajax запрос на сервер на nodejs с csurf.
Пробовал так:

let token = await fetch("http://site/admin/", {method:'get'}).then(data=>data.json())
let response = await fetch("http://site/admin/", {
        credentials: 'same-origin',
        method: 'post',
        headers: {
            'Content-Type': 'application/json',
            'Accept': 'application/json',
            "X-CSRF-Token": token.csrfToken
        },
        body: .....
    });

Токен получает, но при ПОСТ на сервере вылетает сообщение что "ForbiddenError: invalid csrf token"
Причём подозреваю, что он их воспринимает как запросы с разных клиентов.
Так вот, как можно исправить эту ситуацию?

Вопрос задан более трёх лет назад
571 просмотр

34 комментария

Подписаться 1 Средний 34 комментария

Игорь @IgorPI

token.csrfToken <= здесь точно токен?

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Игорь, да точно, в консоли выводил

Написано более трёх лет назад
Михаил @notiv-nt

Иоанн,
'CSRF-Token': token

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Михаил, нет, в token - {"csrfToken":".................."}

Написано более трёх лет назад
Михаил @notiv-nt

Иоанн,
Это? https://github.com/expressjs/csurf#using-ajax

Написано более трёх лет назад
Игорь @IgorPI

Иоанн, Нужно смотреть что прилетает на сервер.
Я однажды не мог понять в чем же дело, composer не мог найти файл

Да вот же он лежит.

constants.php
сonstants.php

Из за невнимательности, оказалось, что первый символ "с" в кириллице

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Михаил, не понял вас. Сделано, да, по этому примеру из документации. Только токен я предварительно просил get ajax

Написано более трёх лет назад
Михаил @notiv-nt

Иоанн, X-CSRF-Token или CSRF-Token ?

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Михаил, и так и так пробовал. Пробовал все 4 хедера что в доха описаны

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Игорь, запрос на сервер приходит, но что туда приходит посмотреть не могу, так как csurf "посылает" раньше чем я могу что то вывести.

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса
Игорь, поставил перед app.use(csrf())
app.use(function (req,res,next) { console.log(req.headers) next() })

токен приходит
{
host: 'site',
connection: 'keep-alive',
'content-length': '48',
accept: 'application/json',
'csrf-token': '7YohokbB-OEwkRBYcVh5PaM0B7KwLQJls8A4',
........
}
Написано более трёх лет назад
Игорь @IgorPI

У вас в каждом примере разные ключи в заголовках.
Что происходит?

Написано более трёх лет назад
Игорь @IgorPI

csrf-token
csrfToken
X-CSRF-Token

Как понимать?

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Игорь, извиняюсь за дезориентацию. Это я просто в пост запросе очередной раз поменял хедер.
Говорю же, при каждом чихе пробую все 4 варианта что в документации указаны

Написано более трёх лет назад
Игорь @IgorPI

Проблема скорее всего кроится в наименовании ключа заголовка.
Ключи должны именоваться так:

My-Header
Content-Type

Написано более трёх лет назад
Игорь @IgorPI

Вам нужно ловить этот заголовок на сервере, у вас имеется доступ к серверу?

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Игорь, вы документацию csurf читали?

value
Provide a function that the middleware will invoke to read the token from the request for validation. The function is called as value(req) and is expected to return the token as a string.

The default value is a function that reads the token from the following locations, in order:

req.body._csrf - typically generated by the body-parser module.
req.query._csrf - a built-in from Express.js to read from the URL query string.
req.headers['csrf-token'] - the CSRF-Token HTTP request header.
req.headers['xsrf-token'] - the XSRF-Token HTTP request header.
req.headers['x-csrf-token'] - the X-CSRF-Token HTTP request header.
req.headers['x-xsrf-token'] - the X-XSRF-Token HTTP request header.

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Игорь,
Вам нужно ловить этот заголовок на сервере, у вас имеется доступ к серверу?

Я же писал выше, что хедер приходит на сервер

Написано более трёх лет назад
Игорь @IgorPI

Иоанн, Вы наверное и здесь были?

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Игорь, да

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Игорь, Михаил, судя по логам дело видимо в том, что он для каждого из запросов(сначала гет, потом пост) создаёт отдельные сессии. А как сказать, что это одна и та же сессия (один и тот же клиент)?

Написано более трёх лет назад
Михаил @notiv-nt
Иоанн,
resave: false, saveUninitialized: false,

?
Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса
Михаил,
resave: true, saveUninitialized : false
Написано более трёх лет назад
Михаил @notiv-nt

Иоанн, помню что с resave были проблемы, он на каждый запрос перезаписывал куку

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Михаил, изменил, но ничего не поменялось

Написано более трёх лет назад
Михаил @notiv-nt

Иоанн, тогда хз что у вас там не так

Написано более трёх лет назад
Михаил @notiv-nt

Иоанн, cookie-parser стоит до csrf ?

Написано более трёх лет назад
Михаил @notiv-nt

Иоанн,
Requires either a session middleware or cookie-parser to be initialized first.

это может

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Михаил, а может в этом проблема? fetch у меня "same-origin"

credentials
Опция credentials указывает, должен ли fetch отправлять куки и авторизационные заголовки HTTP вместе с запросом.

"same-origin" – стоит по умолчанию, не отправлять для запросов на другой источник,
"include" – отправлять всегда, но при этом необходим заголовок Access-Control-Allow-Credentials в ответе от сервера, чтобы JavaScript получил доступ к ответу сервера, об этом говорилось в главе Fetch: запросы на другие сайты,

Написано более трёх лет назад
Михаил @notiv-nt

Иоанн, если вы отправляете на тот же домен то все ок
сессионная кука то приходит?

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Михаил, так в том то и проблема, что vue-cli запускается на порту 8080, а сервер данных на 80 порту.
Получается что запросы идут совсем на другой сайт

Написано более трёх лет назад
Михаил @notiv-nt

Иоанн, include значит

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Михаил, так то оно так, только теперь с CORS задница.
Я так понимаю если поставить mode : no-cors получу тот же гемор. В смысле не будут данные и куки передаваться?

Написано более трёх лет назад
Иоанн @ioangrozniy Автор вопроса

Михаил, пробовал я include, только у меня не получилось из-за настроек cors. Сейчас перенастроил, заработало, только гемор блин.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Vue.js

+1 ещё

Средний
Как использовать хуки NUXT в модулях?
- 1 подписчик
- 5 часов назад
- 27 просмотров
1

ответ
Vue.js

Простой
Как решить проблему с логикой валидации после перезагрузки страницы в Vue.js?
- 1 подписчик
- 7 часов назад
- 32 просмотра
0

ответов
npm

+1 ещё

Сложный
Как победить ошибку 404 при установке npm пакета из приватного gitlab registry?
- 2 подписчика
- 12 часов назад
- 123 просмотра
0

ответов
Vue.js

Средний
Как сделать светлую тему по дефолту во Vueform?
- 1 подписчик
- вчера
- 38 просмотров
1

ответ
Vue.js

Средний
Как разрешить пути к SVG во Vue-проекте?
- 1 подписчик
- вчера
- 51 просмотр
2

ответа
JavaScript

+2 ещё

Простой
Как отобразить массив из элементов?
- 1 подписчик
- вчера
- 96 просмотров
0

ответов
Vue.js

Простой
Как грамотно реализовать поисковую строку?
- 1 подписчик
- вчера
- 73 просмотра
1

ответ
JavaScript

+2 ещё

Средний
Проблемы с telegram bot, а именно с сообщениями, как исправить?
- 1 подписчик
- 17 апр.
- 76 просмотров
1

ответ
Vue.js

Простой
Не работают @media-query на Vue 2, как исправить?
- нет подписчиков
- 17 апр.
- 55 просмотров
0

ответов
Vue.js

+1 ещё

Простой
Почему компонент не получает данные от pinia?
- 1 подписчик
- 16 апр.
- 72 просмотра
1

ответ
Показать ещё Загружается…

Senior Backend Developer Node.js

Radium Finance • Москва

от 300 000 до 400 000 ₽

Node.js разработчик

ДАЛЕЕ • Москва

от 200 000 ₽

Node.js Developer (middle)

ROBOTMIA • Новосибирск

от 130 000 ₽

Разработать несистемный алерт

19 апр. 2024, в 20:11

500 руб./за проект

Расработка Парсер для сайта https://soliq.uz/activities/debtor

19 апр. 2024, в 19:51

3000 руб./за проект

Два скрипта, Python, web3.py, вызов функции смарт-конракта

19 апр. 2024, в 19:47

50000 руб./за проект

Игорь, да точно, в консоли выводил
Михаил, нет, в token - {"csrfToken":".................."}
Иоанн,
Это? https://github.com/expressjs/csurf#using-ajax
Иоанн, Нужно смотреть что прилетает на сервер.
Я однажды не мог понять в чем же дело, composer не мог найти файл

Да вот же он лежит.

constants.php
сonstants.php

Из за невнимательности, оказалось, что первый символ "с" в кириллице
Михаил, не понял вас. Сделано, да, по этому примеру из документации. Только токен я предварительно просил get ajax
Михаил, и так и так пробовал. Пробовал все 4 хедера что в доха описаны
Игорь, запрос на сервер приходит, но что туда приходит посмотреть не могу, так как csurf "посылает" раньше чем я могу что то вывести.
Игорь, поставил перед app.use(csrf())
app.use(function (req,res,next) { console.log(req.headers) next() })

токен приходит
{
host: 'site',
connection: 'keep-alive',
'content-length': '48',
accept: 'application/json',
'csrf-token': '7YohokbB-OEwkRBYcVh5PaM0B7KwLQJls8A4',
........
}
У вас в каждом примере разные ключи в заголовках.
Что происходит?
Игорь, извиняюсь за дезориентацию. Это я просто в пост запросе очередной раз поменял хедер.
Говорю же, при каждом чихе пробую все 4 варианта что в документации указаны
Проблема скорее всего кроится в наименовании ключа заголовка.
Ключи должны именоваться так:

My-Header
Content-Type
Вам нужно ловить этот заголовок на сервере, у вас имеется доступ к серверу?
Игорь, вы документацию csurf читали?

value
Provide a function that the middleware will invoke to read the token from the request for validation. The function is called as value(req) and is expected to return the token as a string.

The default value is a function that reads the token from the following locations, in order:

req.body._csrf - typically generated by the body-parser module.
req.query._csrf - a built-in from Express.js to read from the URL query string.
req.headers['csrf-token'] - the CSRF-Token HTTP request header.
req.headers['xsrf-token'] - the XSRF-Token HTTP request header.
req.headers['x-csrf-token'] - the X-CSRF-Token HTTP request header.
req.headers['x-xsrf-token'] - the X-XSRF-Token HTTP request header.
Игорь,
Вам нужно ловить этот заголовок на сервере, у вас имеется доступ к серверу?

Я же писал выше, что хедер приходит на сервер
Игорь, Михаил, судя по логам дело видимо в том, что он для каждого из запросов(сначала гет, потом пост) создаёт отдельные сессии. А как сказать, что это одна и та же сессия (один и тот же клиент)?
Иоанн, помню что с resave были проблемы, он на каждый запрос перезаписывал куку
Михаил, изменил, но ничего не поменялось
Иоанн, тогда хз что у вас там не так
Иоанн,
Requires either a session middleware or cookie-parser to be initialized first.

это может
Михаил, а может в этом проблема? fetch у меня "same-origin"

credentials
Опция credentials указывает, должен ли fetch отправлять куки и авторизационные заголовки HTTP вместе с запросом.

"same-origin" – стоит по умолчанию, не отправлять для запросов на другой источник,
"include" – отправлять всегда, но при этом необходим заголовок Access-Control-Allow-Credentials в ответе от сервера, чтобы JavaScript получил доступ к ответу сервера, об этом говорилось в главе Fetch: запросы на другие сайты,
Иоанн, если вы отправляете на тот же домен то все ок
сессионная кука то приходит?
Михаил, так в том то и проблема, что vue-cli запускается на порту 8080, а сервер данных на 80 порту.
Получается что запросы идут совсем на другой сайт
Михаил, так то оно так, только теперь с CORS задница.
Я так понимаю если поставить mode : no-cors получу тот же гемор. В смысле не будут данные и куки передаваться?
Михаил, пробовал я include, только у меня не получилось из-за настроек cors. Сейчас перенастроил, заработало, только гемор блин.

Answer 1 · 2024-04-09 19:18:55

У вас вот тут интересная строка:

let token = await fetch("http://site/admin/", {method:'get'}).then(data=>data.json())

Одновременно и await и .then();

Вот как я сделал:

Клиент:

function get_csurf_token(){

	return new Promise(async (resolve, reject) => {
		let response = await fetch('/get_csurf_token', {
			method:'get',
			headers: {
				'Accept': 'application/json',
			},
		});

		if(response.status == 200){	
			let obj = await response.json();
			console.log(obj)
			resolve(obj.token);
		}
	});

}

form_add.addEventListener('submit', async function(event){

	event.preventDefault();

	let csurf_token = await get_csurf_token();

	let response = await fetch(form_add.getAttribute('action'), {
		method: form_add.getAttribute('method'),
		headers: {
			'Content-type': 'application/json',
			'Accept': 'application/json',
			'X-Csrf-Token': csurf_token,
		},
		body: JSON.stringify({
			first_name: form_add.first_name.value,
			last_name: form_add.last_name.value
		})
	});
	console.log(response)
	if(response.status == 200){

		let user = await response.json();
		output.innerHTML = 'В базу данных добавлен новый пользователь: <b>' + user.first_name + ' ' + user.last_name + '</b><br>';

	}
	else{
		output.innerHTML = 'Произошла ошибка!<br>' + response.status + ' ' + response.statusText;
	}

});

Сервер:

app.use(csurf());

app.get('/get_csurf_token', async function(req, res){
	
	let token = req.csrfToken();
	console.log(token);	// Получим строку вида: xmRBPXdh-s8TAuC5xwUt80ocW6hiim9Ow690
	res.send({ token });

});

Как правильно сделать запрос на сервер с csurf?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт