使用 enctype="multipart/form-data" 时出现 CSRF 错误

2024-05-22

每当我将 enctype="multipart/form-data" 添加到我的 html 表单中时，我得到ForbiddenError: invalid csrf token

如果我删除 enctype，它就可以工作

我发送的 csrf 代码如下：input(type="hidden" name="_csrf" value= csrf_token)

我的快递文件：

var express = require('express');
var session = require('express-session');
var cookieParser = require('cookie-parser');
var cookieSession = require('cookie-session');
var bodyParser = require('body-parser');
var methodOverride = require('method-override');
var csrf = require('csurf');


var env = process.env.NODE_ENV || 'development';

module.exports = function (app, passport) {

  // Static files middleware

  // set views path and default layout
  app.set('views', config.root + '/app/views');
  app.set('view engine', 'jade');

  // bodyParser should be above methodOverride
  app.use(bodyParser.urlencoded({
    extended: true
  }));
  app.use(bodyParser.json());
  app.use(methodOverride(function (req, res) {
    if (req.body && typeof req.body === 'object' && '_method' in req.body) {
      // look in urlencoded POST bodies and delete it
      var method = req.body._method;
      delete req.body._method;
      return method;
    }
  }));

  // cookieParser should be above session
  app.use(cookieParser());
  app.use(cookieSession({ secret: 'secret' }));

  // use passport session
  app.use(passport.initialize());
  app.use(passport.session());

  // connect flash for flash messages - should be declared after sessions

  // adds CSRF support
  if (process.env.NODE_ENV !== 'test') {
    app.use(csrf());

    app.use(function(req, res, next){
      res.locals.csrf_token = req.csrfToken();
      next();
    });
  }
};

My form:

form(action="/adminfruta/criarproduto" enctype="multipart/form-data" method="post")
        input(type="hidden" name="_csrf" value= csrf_token)
        .tipo Tipo do Produto
        
        input(type="radio", value="cesta", name="type", id="cesta", checked="checked")
        label.radio(for="cesta") Cesta
        input(type="radio", value="avulso", name="type", id="avulso")
        label.radio(for="avulso") Avulso
        
        label(for="name") Nome do Produto:
        input(type="text" name="name" id="name")
        label(for="code") Código da Cesta no sistema
        input(type="text" name="code" id="code")
        label(for="inventory") Estoque:
        input(type="number" name="inventory")
        label(for="description") Descrição:
        select(multiple="multiple" name="description" id="descricao")
            for item in itens
                option(value= item.id)= item.name

        label(for="quantities") Quantidade de cada item, de acordo com a ordem da lista (não da ordem que você selecionou) separado por virgulas
        input(type="text" name="quantities" id="quantities" placeholder="Exemplo: 3,1,1,4,2,6")

        .fotos
            .half
                .choose Escolha foto 1 (tamanho 250x250 px):
                input(type="file" name="foto1")
            .half
                .choose Escolha foto 2 (tamanho 250x250 px):
                input(type="file" name="foto2")
        
        .fotos
            .half
                label(for="price") Preço(em centavos):  
                input(type="number" name="price" placeholder="R$86,00  ficaria  8600")
            .half
                label(for="discount") Desconto (opcional): 
                input(type="number" name="discount")


        .tipo Categorias:
        ul.categories
            for category in categories
                li 
                    input(type="radio" value= category.id id= category.name name="category")
                    label(for= category.name) #{category.name}
        
        .tipo Produtos Relacionados:
        .relations
            select(id="related_products" name="related_products" multiple="multiple")
                for product in products
                    option(value= product.id)= product.name


        .tipo Adicionais:
        .relations

            select(id="addons" name="addons" multiple="multiple")
                for item in itens
                    option(value= item.id) #{item.name}
    
        button.button.save(type="submit") Criar Novo

我的路线文件

var aws = require('aws-sdk');
var multer= require('multer');
var multerS3 = require('multer-s3');

var s3 = new aws.S3({/*params: {Bucket: 'frutacor'}*/});

// var upload = multer({ dest: 'public/img/users/' });
var upload = multer({
  storage: multerS3({
    s3: s3,
    bucket: 'frutacor',
    acl: 'public-read',
    key: function (req, file, cb) {
      cb(null, Date.now().toString());
    }
  })
});

module.exports = function (app, passport) {
    app.post('/adminfruta/criarproduto', admin.verifyAdmin, upload.fields([
    {name: 'foto1', maxCount: 1},
    {name: 'foto2', maxCount: 1}]), admin.createProduct);
}

最后是 admin.js 文件

exports.createProduct = function(req, res){
  var product = new Product(makeProduct(req.body, req.files));
  product.save();
  return res.render('admin/index');
};

var makeProduct = function(product, photos){
  product.photos.push(photos.foto1[0].location);
  product.photos.push(photos.foto2[0].location);
  return product;
};

另外，对于依赖关系：

"dependencies": {
"async": "1.3.0",
"aws-sdk": "^2.4.2",
"body-parser": "1.13.2",
"compression": "1.5.1",
"connect-flash": "0.1.1",
"connect-mongo": "0.8.1",
"cookie-parser": "1.3.5",
"cookie-session": "1.2.0",
"csurf": "1.9.0",
"easyimage": "^2.1.0",
"express": "4.13.1",
"express-session": "1.11.3",
"jade": "^1.11.0",
"method-override": "2.3.3",
"morgan": "1.6.1",
"multer": "^1.1.0",
"multer-s3": "^2.3.2",
"passport": "0.2.2",
"passport-local": "1.0.0",
"sha1": "^1.1.1",
"underscore": "^1.8.3",
"view-helpers": "0.1.5",
}

我以为原因是 multer，但后来我更改了 multer 版本并停止将其用作全局中间件，但仍然收到此错误。

注意：如果我更改操作以在 URL 后包含“?_csrf=#{csrfToken}”，则它可以工作，但我想要一个更清晰的解决方案（如果有）。

制作这样的表格

<form method="post" action="/?_csrf=<%=csrfToken%>"

并删除这个

input(type="hidden" name="_csrf" value= csrf_token)

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

nodejs

Express

CSRF

使用 enctype="multipart/form-data" 时出现 CSRF 错误的相关文章

本地 React 前端、Django REST Framework 后端（在 CORS 下访问 CSRF cookie 时出现问题）

我正在创建一个带有 React 前端和 Django REST Framework 后端的 Web 应用程序由于某些情况我必须在本地开发 React 前端而后端服务器位于远程位置后端服务器要求我在登录后的每个 POST 中使用 CS
为什么我从 findAll Sequelize 得到未定义的电子邮件数据结果？

请帮忙如何显示来自 Sequelize findAll 查询的电子邮件因为我从源代码中得到 Undefine 有人可以帮助我吗这是我的代码 testdata get req res gt User findAll then data
Node + Express .post 路由抛出错误。预期回调，获得对象

我目前正在开发一个使用 Express Node 的应用程序我最近添加了一个新的 post路线到app js文件使用以下语法 app post api posts saveComment posts saveComment posts上
Express/node.js 204 HTTP 代码响应问题

这是我的代码 put function req res User findById req params user id function err user if err return res send err user dateEdite
如何在 package.json 中对嵌套子模块和 TypeScript 使用“导出”？

我想利用新的优势出口 https nodejs org api packages html packages exportsNode js 的功能package json这样我就可以执行以下操作 exports dist index js
节点检查器显示对象“无属性”

我在调试场景中相当陌生尤其是节点检查器安装节点检查器后我使用 debug 参数启动了简单的节点应用程序并且能够在 localhost 8080 debug port 5858 处看到调试视图当我让应用程序在此断点处停止时 rout
在node.js中使用pug在表单“post”之后发送空的{}

我正在尝试使用 fetch 和以下 pug 代码通过 post 将表单数据从登录页面传递到登录页面 form id form login input type text name email value placeholder Tu ema
具有独立 Node.js 服务器的虚拟主机

目前有没有一种方法可以使用node js服务器进行虚拟托管即在一个IP下托管多个域当然你可以使用bouncy https github com substack bouncy or 节点 http 代理 https github co
如何在控制台上打印来自post请求的数据

我正在尝试在控制台上打印发布数据 app js var express require express http require http var app express app set port process env PORT 7002
如何在 PyV8 中加载 Nodejs 模块？

如何在 PyV8 中加载 Nodejs 模块我读过所有关于 jsdom 在与 Nodejs 一起运行时有多么出色的内容如果我在 Python 应用程序中运行 v8 使用 python 获取 Web 资源然后将生成的 html 字符串提
如何从控制器返回 PDF 文件

我正在尝试使用 NestJs 从控制器端点返回 PDF 文件未设置时Content typeheader 返回的数据getDocumentFile 很好地返回给用户然而当我添加标头时我得到的返回似乎是某种奇怪形式的 GUID 响应总
如何模拟“焦点”和“打字”事件

尝试模拟 onfocus 和打字事件但它不起作用 Sub Login MyLogin MyPass Dim IEapp As InternetExplorer Dim IeDoc As Object Dim ieTable As Obje
如何检测和测量 Node.js 中的事件循环阻塞？

我想监视 node js 中事件循环每次运行需要多长时间但是我不确定衡量这一点的最佳方法我能想到的最好的方法是这样的 var interval 500 var interval setInterval function var last
Mongodb更新很多

我正在使用express js 和 npm 模块 mongodb 进行开发并以 mongodb 作为数据库我有两个集合即用户和活动一个用户可能有数千个活动首先我将用户的 id 姓名和图片 url 存储到关系的活动文件请
nodejs mocha suite 未定义错误

我正在尝试使用摩卡运行一些测试但似乎无法克服这个错误 E tdd nodejs cart gt mocha cart test js node js 201 throw e process nextTick error or err Re
Node.js 检测两个猫鼬查找何时完成

我正在尝试使用自动完成功能初始化两个输入library https www devbridge com sourcery components jquery autocomplete 当我加载页面时我将触发 Ajax 来初始化两个输入文本
如何在 Google Translate Node.js 代码中设置 API KEY

我正在尝试创建一个使用 Google Translate API 的 Node js 代码我从以下代码中得到了谷歌文档 https cloud google com translate docs translating text 但是当我
护照：登录和帐户注册的不同重定向

我在我的应用程序中使用护照模块 github身份验证我想根据操作进行重定向我检查这是否只是正常登录或者用户是否第一次登录 passport use new GitHubStrategy clientID conf github app
使用 aws elastic beanstalk 将非 www 重定向到 www

我正在使用 Elastic Beanstalk 并按照说明使用 Express Web 服务器部署我的应用程序如下所示 http docs aws amazon com elasticbeanstalk latest dg create
使用 Jade 评估自定义 javascript 方法 (CircularJSON)

我想通过 Jade 将一个对象解析为客户端 JavaScript 通常这会起作用 script var object JSON parse JSON stringify object but my object is circular ht

随机推荐

Java 9 中 java.se 模块的意义是什么？

为什么 java 9 模块系统有 java se 模块它对其他模块具有传递依赖关系这与 Java 9 之前的世界中依赖整个 rt jar 不一样吗 module java se requires transitive java desk
npm 错误！遵循 Angular 2 快速入门时出现无效名称：“@angular/core”

我正在尝试遵循Angular 2 快速入门 https angular io docs ts latest quickstart html 第一步是设置环境我对 npm 并不是完全陌生我设法安装并尝试了 Ember 但仅此而已下面是我
使用 Code Assist (org.eclipse.mylyn.java.ui.javaAllCompletionProposalComputer) 时 Eclipse 非常慢

你能猜出会发生什么吗我使用 Eclipse WTP Axis2 生成了一个客户端存根并在工作时一个客户当我尝试使用 Code Assist 时 Eclipse 运行速度非常慢也就是说按一个点即可获取方法列表工作台有长达 30
WSDL PHP 函数返回 null，而其他函数返回预期结果

Summary 在这里我将列出我解决此问题所采取的所有步骤以供其他人参考 1 PHP 很愚蠢地监听函数的输入消息来定义它应该使用哪个函数因此为每个函数提供不同的输入消息即使它使用相同的类型或元素您可能认为这对您来说是一项艰巨
如何在 Facebook SDK for iOS 中定义“GeoPoint”属性

我试图通过创建一个继承预定义地点对象的开放图对象来对开放图故事进行地理标记但是我不知道如何在 iOS 中定义 GeoPoint 属性 place location 这里有一个类似问题的答案 https stackoverflow c
C++ 中的 Anderson Darling 测试

我正在尝试计算发现的安德森达林测试here https en wikipedia org wiki Anderson E2 80 93Darling test 我按照维基百科上的步骤进行操作并确保当我计算我正在测试的数据的平均值和标准差
Android Surface 与 Canvas 的关系

Surface 和 Canvas 之间到底是什么关系请解释表面是一个缓冲区画布保存绘图视图未附加到画布也不是表面窗户被绑在 Surface 和 ViewRoot 询问随后使用的画布表面通过要绘制的视图详细答案你可以阅读这篇
IBOutlet、实例变量和属性：最佳实践

今天我对有关声明 IBOutlet 和实例变量管理它们使用正确的访问器以及正确释放它们的最佳实践进行了各种研究我已经差不多了但我有一些小问题我希望有人能够就最佳实践提出建议我会将它们格式化为代码并注释问题以便更容易理解我排
Git checkout 不会丢弃我的更改

我在 Windows XP 上使用 git 1 7 1 和 cygwin 这个问题可以通过例子得到最好的说明 git status On branch master Changed but not updated use git add
Three20中的TTSpeechBubbleShape仅绘制“语音”三角形顶部和底部

因此我将 Three20 库用于 iPhone 应用程序并希望将 TTSpeechBubbleShape 样式用于视图但三角形似乎不想画在左边或右边我在源代码中看到它有很多几何图形并且想知道是否有人解决了这个问题或知道如何解决它
python 中的泛型方法

是否有可能在Python中实现通用方法处理程序允许调用不存在的函数像这样的东西 class FooBar def generic method handler methodName print methodName fb FooBar
如何在java中以编程方式访问网页

有一个网页我想从中检索某个字符串为此我需要登录单击一些按钮填充文本框单击另一个按钮然后就会出现字符串我怎样才能编写一个java程序来自动执行此操作是否有任何有用的库用于此目的 Thanks Try HtmlUnit htt
django过滤器查询集在模板上显示变量[重复]

这个问题在这里已经有答案了下面是我的统计页面的views py 此页面有大量基于我的模型对象的计算效果很好然而当我申请时Django 过滤器 https django filter readthedocs io en stable 数
Robolectric 1.2：“警告：无法找到 Android SDK 的路径”

I used Robolectric 1 1 jar 与依赖项在我的项目中并成功使其工作但是当我将罐子更改为 1 2 SNAPSHOT jar 与依赖项我收到以下警告警告无法找到 Android SDK 的路径两个jar包都下载
是否有必要将 using 与 IDisposable 对象嵌套？

我必须把我所有的包裹起来吗IDisposable对象在using 声明即使我只是将一个声明传递给另一个声明例如在以下方法中 public static string ReadResponse HttpWebResponse respo
iOS8beta5中无法使用UIWebView打开PDF文件

I have 工作项目我在其中显示UIWebView 中的 pdf 文件在测试我的应用程序时iOS8beta5 与 XCode5 它不起作用 In log它显示failed to find PDF header PDF not found
ASP.NET HTTP 请求是否会转换为 1 个线程？

可以安全地假设当用户通过 HTTP 请求 aspx 页面时 ASP NET 至少为其创建 1 个线程吗如果是这样持续多久如果 1000 人向同一个 aspx 页面发出 HTTP 请求是否会涉及一些线程回收因此不会产生不同的 100
Pycharm 中的 Traitlets.traitlets.TraitError

我是Python的初学者我面临以下问题每当我启动 pycharm 社区版版本 5 0 3 时 Python 控制台无法启动并显示以下错误 usr bin python2 7 usr lib pycharm community help
为什么我会收到此 Javascript 错误“连接未定义”？

我不确定为什么会收到此错误 connection is not defined document getElementById flashTest sendValFromHtml connection value 这是我的代码 functi
使用 enctype="multipart/form-data" 时出现 CSRF 错误

每当我将 enctype multipart form data 添加到我的 html 表单中时我得到ForbiddenError invalid csrf token 如果我删除 enctype 它就可以工作我发送的 csrf 代码如

使用 enctype="multipart/form-data" 时出现 CSRF 错误

使用 enctype="multipart/form-data" 时出现 CSRF 错误 的相关文章

随机推荐

热门标签

使用 enctype="multipart/form-data" 时出现 CSRF 错误的相关文章