multer 和 csrf 保护
multer and csrf protection
如果我在使用 multer 时遇到错误,例如无效的文件格式,那么 csrf 保护就会失败(无效的令牌)。
那是因为在multer之后配置了csrf保护
但是如果我在 multer 之前添加它,csrf 保护也会失败。我得到:'invalid csrf token'.
如何在保持 csrf 保护的情况下抛出多个错误?
下面的错误在 cb('INVALID FILE!!!', false); 处抛出,并被快速错误处理中间件捕获。但是 csrf 令牌将丢失。
const csrfProtection = csrf();
const fileStorage = multer.diskStorage({
destination: (req, file, cb) => {
cb(null, 'images');
},
filename: (req, file, cb) => {
cb(null, new Date().toISOString().replace(/:/g, '-') + '-' + file.originalname);
}
});
const fileFilter = (req, file, cb) => {
if (
file.mimetype === 'image/png' ||
file.mimetype === 'image/jpg' ||
file.mimetype === 'image/jpeg'
) {
cb(null, true);
} else {
cb('INVALID FILE!!!', false);
}
};
app.set('view engine', 'ejs');
app.set('views', 'views');
const adminRoutes = require('./routes/admin');
const shopRoutes = require('./routes/shop');
const authRoutes = require('./routes/auth');
app.use(bodyParser.urlencoded({ extended: false }));
app.use(
multer({ storage: fileStorage, fileFilter: fileFilter }).single('image')
);
app.use(express.static(path.join(__dirname, 'public')));
app.use('/images', express.static(path.join(__dirname, 'images')));
app.use(
session({
secret: 'my secret',
resave: false,
saveUninitialized: false,
store: store
})
);
app.use(csrfProtection);
app.use(flash());
app.use((req, res, next) => {
res.locals.isAuthenticated = req.session.isLoggedIn;
res.locals.csrfToken = req.csrfToken();
next();
});
app.use((req, res, next) => {
if (!req.session.user) {
return next();
}
User.findById(req.session.user._id)
.then(user => {
if (!user) {
return next();
}
req.user = user;
next();
})
.catch(err => {
next(new Error(err));
});
});
app.use('/admin', adminRoutes);
app.use(shopRoutes);
app.use(authRoutes);
app.get('/500', errorController.get500);
app.use(errorController.get404);
app.use((error, req, res, next) => {
console.log(error);
res.status(500).render('500', {
pageTitle: 'Error!',
path: '/500',
isAuthenticated: req.session.isLoggedIn
});
});
简而言之:
为什么我不能在multer之前设置csrf保护?
如果我真的不能,我该如何抛出一个错误,并继续在我的应用程序中使用 csrf?
我已经想通了所有的解释
multer 按顺序查看每个输入。如果图像字段中有错误(如我的 "invalid file" 错误),它会抛出错误,但在我的错误处理中间件中,我的 req.body 将只包含表单数据,但不包括,图像字段。
这意味着我可以在我的表单 html 中将隐藏的 csrf 输入字段移动到图像输入字段之前的任何位置。
所以现在,当 multer 抛出错误时,我可以使用 req.body._csrf 访问当前的 csrf 值。请注意,在这种情况下,我不应该在错误处理中间件中使用 req.csrfToken() ,因为这将设置一个新标记以用于下一个渲染视图。在这里,它是一个 "post" 路由,所以我需要使用在 html("get" 路由)中首先加载的 csrf 令牌。
如果我在使用 multer 时遇到错误,例如无效的文件格式,那么 csrf 保护就会失败(无效的令牌)。
那是因为在multer之后配置了csrf保护
但是如果我在 multer 之前添加它,csrf 保护也会失败。我得到:'invalid csrf token'.
如何在保持 csrf 保护的情况下抛出多个错误?
下面的错误在 cb('INVALID FILE!!!', false); 处抛出,并被快速错误处理中间件捕获。但是 csrf 令牌将丢失。
const csrfProtection = csrf();
const fileStorage = multer.diskStorage({
destination: (req, file, cb) => {
cb(null, 'images');
},
filename: (req, file, cb) => {
cb(null, new Date().toISOString().replace(/:/g, '-') + '-' + file.originalname);
}
});
const fileFilter = (req, file, cb) => {
if (
file.mimetype === 'image/png' ||
file.mimetype === 'image/jpg' ||
file.mimetype === 'image/jpeg'
) {
cb(null, true);
} else {
cb('INVALID FILE!!!', false);
}
};
app.set('view engine', 'ejs');
app.set('views', 'views');
const adminRoutes = require('./routes/admin');
const shopRoutes = require('./routes/shop');
const authRoutes = require('./routes/auth');
app.use(bodyParser.urlencoded({ extended: false }));
app.use(
multer({ storage: fileStorage, fileFilter: fileFilter }).single('image')
);
app.use(express.static(path.join(__dirname, 'public')));
app.use('/images', express.static(path.join(__dirname, 'images')));
app.use(
session({
secret: 'my secret',
resave: false,
saveUninitialized: false,
store: store
})
);
app.use(csrfProtection);
app.use(flash());
app.use((req, res, next) => {
res.locals.isAuthenticated = req.session.isLoggedIn;
res.locals.csrfToken = req.csrfToken();
next();
});
app.use((req, res, next) => {
if (!req.session.user) {
return next();
}
User.findById(req.session.user._id)
.then(user => {
if (!user) {
return next();
}
req.user = user;
next();
})
.catch(err => {
next(new Error(err));
});
});
app.use('/admin', adminRoutes);
app.use(shopRoutes);
app.use(authRoutes);
app.get('/500', errorController.get500);
app.use(errorController.get404);
app.use((error, req, res, next) => {
console.log(error);
res.status(500).render('500', {
pageTitle: 'Error!',
path: '/500',
isAuthenticated: req.session.isLoggedIn
});
});
简而言之: 为什么我不能在multer之前设置csrf保护?
如果我真的不能,我该如何抛出一个错误,并继续在我的应用程序中使用 csrf?
我已经想通了所有的解释
multer 按顺序查看每个输入。如果图像字段中有错误(如我的 "invalid file" 错误),它会抛出错误,但在我的错误处理中间件中,我的 req.body 将只包含表单数据,但不包括,图像字段。
这意味着我可以在我的表单 html 中将隐藏的 csrf 输入字段移动到图像输入字段之前的任何位置。
所以现在,当 multer 抛出错误时,我可以使用 req.body._csrf 访问当前的 csrf 值。请注意,在这种情况下,我不应该在错误处理中间件中使用 req.csrfToken() ,因为这将设置一个新标记以用于下一个渲染视图。在这里,它是一个 "post" 路由,所以我需要使用在 html("get" 路由)中首先加载的 csrf 令牌。