csrf

在此插件运行时,GETHEADOPTIONS 会被定义为 safe-methods,其他的请求方法则定义为 unsafe-methods。因此 GETHEADOPTIONS 方法的调用不会被检查拦截。

以下示例展示了如何在指定路由上启用并配置 csrf 插件:

当你使用 GET 之外的方法访问被保护的路由时,请求会被拦截并返回 401 HTTP 状态码。

note

每一个请求都会返回一个新的 Cookie。

在后续对该路由进行的 unsafe-methods 请求中,需要从 Cookie 中读取加密的 Token,并在请求头中携带该 Token。请求头字段的名称为插件属性中的 name

启用插件后,使用 curl 命令尝试直接对该路由发起 POST 请求,会返回 Unauthorized 字样的报错提示:

  1. curl -i http://127.0.0.1:9080/hello -X POST
  1. HTTP/1.1 401 Unauthorized
  2. ...
  1. HTTP/1.1 200 OK
  2. ...
  3. Set-Cookie: apisix-csrf-token=eyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ==;path=/;Expires=Mon, 13-Dec-21 09:33:55 GMT

在请求之前,用户需要从 Cookie 中读取 Token,并在后续的 unsafe-methods 请求的请求头中携带。

例如,你可以在客户端使用 读取 Cookie,使用 axios 发送请求:

  1. const token = Cookie.get('apisix-csrf-token');
  3. const instance = axios.create({
  4.   headers: {'apisix-csrf-token': token}
  5. });

使用 curl 命令发送请求,确保请求中携带了 Cookie 信息,如果返回 200 HTTP 状态码则表示请求成功:

  1. HTTP/1.1 200 OK
  1. {
  2.   "uri": "/hello",
  3.   "upstream": {
  4.     "type": "roundrobin",
  5.     "nodes": {
  6.       "127.0.0.1:1980": 1
  7.     }
  8.   }
  9. }'