fwon/node-csrf.js

## node-csrf.js
// Node.js请求 CSRF防范
var generateRandom = function(len) {
  return crypto.randomBytes(Math.ceil(len * 3 / 4))
    .toString('base64')
    .slice(0, len);
};

// 为每个请求的用户，在Session中赋予一个随即值

<form id="test" method="POST" action="http://domain_a.com/guestbook">
  <input type="hidden" name="content" value="xxx"/>
  <input type="hidden" name="_csrf" value="<%=_csrf%>"/>
</form>

// 后端做校验

function(req, res) {
  var token = req.session._csrf || (req.session._csrf = generateRandom(24));
  var _csrf = req.body._csrf;
  if(token !== _csrf) {
    res.writeHead(403);
    res.end("禁止访问");
  } else {
    handle(req, res);
  }
}
	// Node.js请求 CSRF防范
	var generateRandom = function(len) {
	return crypto.randomBytes(Math.ceil(len * 3 / 4))
	.toString('base64')
	.slice(0, len);
	};

	// 为每个请求的用户，在Session中赋予一个随即值

	<form id="test" method="POST" action="http://domain_a.com/guestbook">
	<input type="hidden" name="content" value="xxx"/>
	<input type="hidden" name="_csrf" value="<%=_csrf%>"/>
	</form>

	// 后端做校验

	function(req, res) {
	var token = req.session._csrf \|\| (req.session._csrf = generateRandom(24));
	var _csrf = req.body._csrf;
	if(token !== _csrf) {
	res.writeHead(403);
	res.end("禁止访问");
	} else {
	handle(req, res);
	}
	}