csrf

在此插件运行时,GETHEADOPTIONS 会被定义为 safe-methods,其他的请求方法则定义为 unsafe-methods。因此 GETHEADOPTIONS 方法的调用不会被检查拦截。

注意:schema 中还定义了 encrypt_fields = {"key"},这意味着该字段将会被加密存储在 etcd 中。具体参考 加密存储字段

以下示例展示了如何在指定路由上启用并配置 csrf 插件:

使用 GET 请求 时,在响应中会有一个携带了加密 Token 的 Cookie。Token 字段名称为插件配置中的 name 值,默认为 apisix-csrf-token

note

每一个请求都会返回一个新的 Cookie。

在后续对该路由进行的 unsafe-methods 请求中,需要从 Cookie 中读取加密的 Token,并在请求头中携带该 Token。请求头字段的名称为插件属性中的 name

  1. curl -i http://127.0.0.1:9080/hello -X POST
  1. HTTP/1.1 401 Unauthorized
  2. ...

当发起 GET 请求时,返回结果中会有携带 Token 的 Cookie:

  1. HTTP/1.1 200 OK
  2. ...
  3. Set-Cookie: apisix-csrf-token=eyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ==;path=/;Expires=Mon, 13-Dec-21 09:33:55 GMT

在请求之前,用户需要从 Cookie 中读取 Token,并在后续的 unsafe-methods 请求的请求头中携带。

例如,你可以在客户端使用 js-cookie 读取 Cookie,使用 发送请求:

  3. const instance = axios.create({
  4.   headers: {'apisix-csrf-token': token}
  5. });
  1. HTTP/1.1 200 OK

当你需要禁用该插件时,可以通过以下命令删除相应的 JSON 配置,APISIX 将会自动重新加载相关配置,无需重启服务:

  1. {
  2.   "uri": "/hello",
  3.   "upstream": {
  4.     "type": "roundrobin",
  5.     "nodes": {
  6.       "127.0.0.1:1980": 1
  7.     }
  8.   }