CSRF保护

跨站请求伪造（也称为 CSRF 或 XSRF）是一种对网站的恶意利用， 未经授权的命令从Web应用程序信任的用户传输。为了减轻这种类型的攻击，您可以使用csurf包。

在 Express（默认）中使用

首先，安装所需的包：

npm i --save csurf

注意

该包已被弃用，请参阅csurf文档以获取更多信息。

注意

如csurf文档中所述，此中间件要求首先初始化会话中间件或cookie-parser。请查阅该文档以获取进一步的说明。

安装完成后，将csurf中间件应用为全局中间件：

import * as csurf from 'csurf';
// ...
// 在初始化文件的某个地方
app.use(csurf());

首先，安装所需的包：

npm i --save @fastify/csrf-protection

安装完成后，注册@fastify/csrf-protection插件，如下所示：

import fastifyCsrf from '@fastify/csrf-protection';
// ...
// 在初始化文件的某个地方，在注册某些存储插件之后
await app.register(fastifyCsrf);

注意

如@fastify/csrf-protection文档所述，此插件要求首先初始化存储插件。请查阅该文档以获取进一步的说明。