Skip to main content

CSRF保护

跨站请求伪造(也称为 CSRF 或 XSRF)是一种对网站的恶意利用, 未经授权的命令从Web应用程序信任的用户传输。 为了减轻这种类型的攻击,您可以使用csurf包。

在 Express(默认)中使用

首先,安装所需的包:

npm i --save csurf
warning

该包已被弃用,请参阅csurf文档以获取更多信息。

warning

csurf文档中所述, 此中间件要求首先初始化会话中间件或cookie-parser。 请查阅该文档以获取进一步的说明。

安装完成后,将csurf中间件应用为全局中间件:

import * as csurf from 'csurf';
// ...
// 在初始化文件的某个地方
app.use(csurf());

在 Fastify 中使用

首先,安装所需的包:

npm i --save @fastify/csrf-protection

安装完成后,注册@fastify/csrf-protection插件,如下所示:

import fastifyCsrf from '@fastify/csrf-protection';
// ...
// 在初始化文件的某个地方,在注册某些存储插件之后
await app.register(fastifyCsrf);
warning

@fastify/csrf-protection文档所述, 此插件要求首先初始化存储插件。请查阅该文档以获取进一步的说明。