# csurf Node.js CSRF保護中間件。 初始時需要 session中間件 或 cookie-parser * 如果要將 cookie 選項設置為非false值，則必須在此模塊之前使用cookie-parser。 * 否則，您必須在此模塊之前使用 session中間件。例如 * express-session * cookie-session <br> ## API ### csurf([options]) 為CSRF token創建和驗證創建中間件。這個中間件添加了一個**req.csrfToken()**函數來生成一個token，該token應該添加到隱藏表單字段，查詢字符串等改變狀態的請求中。 <br> ### Options #### cookie 確定用戶的token密鑰是應存儲在cookie還是req.session中。 默認為false。 設置為true（或cookie的選項對象）時，模塊會更改行為，不再使用req.session。 這意味著您不再需要使用會話中間件。 相反，您需要在此中間件之前使用cookie-parser中間件。 設置為對象時，將啟用密鑰的cookie存儲，并且該對象包含此功能的選項（設置為true時，將使用選項的默認值）。 選項可能包含以下任何鍵： * key - 用于存儲令牌密鑰的cookie的名稱（默認為“_csrf”）。 * path - cookie的路徑（默認為'/'）。 可以設置任何其他res.cookie選項。 <br> #### ignoreMethods 禁用CSRF token檢查的方法的數組。 默認為['GET'，'HEAD'，'OPTIONS']。 <br> #### sessionKey 確定 session 對象位于 `req` 上的什么屬性（“KEY”）。默認為'session'（即訪問req.session）。 來自此庫的CSRF秘密存儲并讀取為req [sessionKey] .csrfSecret。來自此庫的 CSRF secret 在 `req[sessionKey].csrfSecret` 存儲和讀取。 如果“cookie”選項不為false，則此選項不執行任何操作。 <br> #### value 提供中間件將調用的函數，以從驗證請求中讀取token。此函數以value(req)調用，返回token字符串。 默認值是按順序從以下位置讀取token的函數： * req.body._csrf - 通常由body-parser模塊生成 * req.query._csrf - 來自Express.js的內置函數，用于從URL查詢字符串中讀取 * req.headers['csrf-token'] - CSRF-Token HTTP請求頭 * req.headers['xsrf-token'] - the XSRF-Token HTTP請求頭 * req.headers['x-csrf-token'] - the X-CSRF-Token HTTP請求頭 * req.headers['x-xsrf-token'] - the X-XSRF-Token HTTP請求頭