CSRF Token在AJAX请求中失效怎么办?后端返回403错误
我在做用户资料更新功能时遇到了问题。后端要求所有POST请求必须携带CSRF Token,我按照常规做法在表单里加了隐藏字段_csrf,但用fetch提交时后端一直返回403。
尝试过把token放在请求头X-CSRF-Token里还是不行,控制台没报错,但抓包发现token值和服务器期望的不一致。页面用Vue做的单页应用,会不会是token没有随页面刷新更新?
服务端是Node.js用express.csrf中间件,前端用axios拦截器自动添加token。现在困惑的是,应该把token存在cookie还是localStorage?如果用cookie怎么安全地读取出来?
以下是当前的实现代码:
// 前端拦截器
axios.interceptors.request.use(config => {
const csrfToken = document.querySelector('meta[name="csrf-token"]').content;
config.headers['X-CSRF-Token'] = csrfToken;
return config;
});
// 后端生成的meta标签
<meta name="csrf-token" content="abc123">
- 2
回答
79浏览
为什么我的Anti-CSRF Token在跨域请求时失效了?
我在单页应用里用JWT做Anti-CSRF防护,每次登录后把token存在cookie并带上自定义请求头。但调用支付接口时后端返回403,明明请求头里带了正确的token值。 尝试过在Express后...
- 2
回答
16浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
- 2
回答
31浏览
Vue项目CSRF防护时验证请求头总失败怎么办?
我在Vue项目里用axios发请求时设置了X-CSRF-Token头,但后端一直返回403错误。之前在登录接口成功获取到token并存到cookie里了,代码是这样的: <script> ...
- 2
回答
26浏览
单页应用中CSRF Token自动刷新导致表单提交失败怎么办?
我在开发Vue应用时遇到了CSRF防护问题,前端用了axios拦截器在每次请求带上CSRF token,但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...
- 1
回答
29浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
- 2
回答
109浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
- 1
回答
75浏览
表单提交带了CSRF Token后后端还是报无效?
我在登录表单里加了隐藏字段的CSRF Token,用JavaScript从API接口获取的,但每次提交后端还是返回“Token无效”。明明前端能正常拿到Token值,表单也正确显示在hidden in...
- 2
回答
63浏览
React表单提交时Anti-CSRF Token没变化导致重复提交被拦截怎么办?
我在用React做文件上传功能时,按照教程实现了CSRF防护,但发现同一个页面多次提交时token没变,导致第二次提交被服务器拦截了。明明在组件挂载时生成了token,代码是这样的: class Fi...
- 2
回答
71浏览
CSRF Token验证时,表单提交的Token和Cookie里的不一致怎么办?
我在用CSRF Token防护登录表单,后端每次响应头都带了Set-Cookie: csrfToken=xxx,前端用JavaScript读取cookie里的值,然后塞到表单的隐藏字段里: docum...
- 2
回答
40浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
建议你把token存到cookie里,更安全也方便管理。express.csrf中间件本来就会把token写到cookie,所以直接用就行,不需要再放到localStorage。
前端这块改一下拦截器,从cookie里读取最新的token:
同时确保后端配置正确,使用
csurf中间件时要配合cookie-parser,并且设置{ cookie: true }参数。这样每次请求后端都会生成新的token并更新到cookie里,前端每次都能拿到最新的值。最后检查下fetch或axios的请求是否带上了cookie,记得设置
withCredentials: true,不然跨域时cookie不会发送。