React表单提交如何防止CSRF攻击?隐藏字段没生效?
在React项目里做订单取消功能,用隐藏字段传CSRF令牌,但提交时后端返回403错误。代码是这样写的:
function CancelOrderForm() {
const [csrfToken, setCsrfToken] = useState('');
useEffect(() => {
fetch('/api/csrf-token')
.then(res => res.json())
.then(data => setCsrfToken(data.token));
}, []);
const handleSubmit = (e) => {
e.preventDefault();
fetch('/orders/cancel', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({
orderId: '12345',
_csrf: csrfToken
})
});
};
return (
<form onSubmit={handleSubmit}>
<input type="hidden" name="_csrf" value={csrfToken} />
<button type="submit">取消订单</button>
</form>
);
}
后端要求同时携带Cookie里的CSRF令牌和表单里的隐藏字段,但请求头没有自动带Cookie。直接用Postman测试时如果少了Cookie里的token就会被拦截,但前端这样写哪里有问题?
- 1
回答
60浏览
React表单二次确认弹窗如何有效防止CSRF攻击?
在做用户删除功能时加了二次确认弹窗,但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件,代码类似这样: function DeleteButton() { const handle...
- 2
回答
63浏览
React表单提交时Anti-CSRF Token没变化导致重复提交被拦截怎么办?
我在用React做文件上传功能时,按照教程实现了CSRF防护,但发现同一个页面多次提交时token没变,导致第二次提交被服务器拦截了。明明在组件挂载时生成了token,代码是这样的: class Fi...
- 1
回答
25浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
- 1
回答
75浏览
表单提交带了CSRF Token后后端还是报无效?
我在登录表单里加了隐藏字段的CSRF Token,用JavaScript从API接口获取的,但每次提交后端还是返回“Token无效”。明明前端能正常拿到Token值,表单也正确显示在hidden in...
- 1
回答
14浏览
Vue表单提交时如何同时实现CSRF防护和验证码验证?
在开发登录表单时,我需要同时处理CSRF防护和验证码验证。现在遇到的问题是:当用户刷新验证码时,CSRF令牌没有同步更新,导致表单提交时后端返回验证失败。我尝试在获取验证码接口里携带CSRF令牌,但发...
- 2
回答
24浏览
React表单提交时用AES加密数据,后端返回解密失败怎么办?
我在React表单提交时用crypto-js的AES加密表单数据,但后端始终报解密失败。明明前后端都用了相同的密钥和模式,到底是哪里出问题了? 代码是这样写的,表单提交时把JSON字符串加密后发送: ...
- 2
回答
75浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
- 1
回答
81浏览
Vue表单提交怎么防CSRF?我的CSRF-Token没生效
大家好,我在做一个Vue项目的时候遇到个问题。按照教程设置了CSRF令牌,但测试发现表单提交还是被拦截了。代码是这样的: <template> <form @submit.preve...
- 1
回答
61浏览
React表单提交时如何防止XSS攻击?IDS/IPS配置有什么建议?
我在做一个用户反馈表单时发现,如果用户输入带标签的内容,提交后服务器IDS直接拦截请求了。但前端已经用了DOMPurify处理输入内容,为什么还是被拦截? 这是我的表单组件代码: import { u...
- 2
回答
58浏览
React表单提交时验证码验证总是失败怎么办?
我在开发用户重置密码功能时,用React写了带验证码的表单,但每次提交后端都返回验证码错误。明明前端生成的验证码和输入的一致,这是为什么呢? 我按照教程在后端生成验证码图片后,把验证码文本存在sess...
credentials: 'include'。默认情况下,fetch 不会自动带上 Cookie,而后端又依赖 Cookie 里的 CSRF 令牌来验证请求。你的代码需要调整的地方不多,重点是在 fetch 请求中加上这个配置。另外,隐藏字段其实在这里不是必须的,因为后端更关注的是 Cookie 和请求体里的 CSRF 令牌是否匹配。以下是修改后的代码:
另外需要注意的是,如果你的前端和后端不在同一个域名下,比如前端运行在
localhost:3000而后端在api.example.com,还需要确保后端正确设置了 CORS 策略,允许前端域名访问,并且支持credentials。后端的响应头应该包含类似这样的配置:如果后端没有正确设置 CORS,浏览器会直接拦截跨域请求,连带 Cookie 都不会发送。你可以先用浏览器开发者工具检查网络请求,看看是不是跨域问题导致的。
最后吐槽一句,CSRF 这种东西每次调试都挺烦人的,尤其是前后端分离的项目,搞不好就会被安全机制拦住。希望这些调整能帮你解决问题。