我的书签
添加书签
移除书签csrf
描述
CSRF 插件基于 Double Submit Cookie 的方式,保护您的 API 免于 CSRF 攻击。本插件认为 GET、HEAD 和 OPTIONS 方法是安全操作。因此 GET、HEAD 和 OPTIONS 方法的调用不会被检查拦截。
在这里我们定义 GET, HEAD 和 OPTIONS 为 safe-methods,其他的请求方法为 unsafe-methods。
属性
| Name | Type | Requirement | Default | Valid | Description |
|---|---|---|---|---|---|
| name | string | optional | apisix-csrf-token | 生成的 Cookie 中的 token 的名字,需要使用这个名字在请求头携带 Cookie 中的内容 | |
| expires | number | optional | 7200 | CSRF Cookie 的过期时间(秒) | |
| key | string | required | 加密 token 的秘钥 |
注意:当 expires 设置为 0 时插件将忽略检查 Token 是否过期
如何启用
- 创建一条路由并启用该插件。
curl -i http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '{"uri": "/hello","plugins": {"csrf": {"key": "edd1c9f034335f136f87ad84b625c8f1"}},"upstream": {"type": "roundrobin","nodes": {"127.0.0.1:9001": 1}}}'
这条路由已经开启保护,当你使用 GET 之外的方法访问,请求会被拦截并返回 401 状态码。
- 使用
GET请求/hello,在响应中会有一个携带了加密token的Cookie。Token 字段的名字为插件配置中的name值,如果没有配置该值,那么默认值为apisix-csrf-token。
注意:每一个请求都会返回一个新的 Cookie。
- 在后续的对该路由的
unsafe-methods请求中,需要从 Cookie 中读取加密的 token,保证携带 Cookie 并在请求头部中携带该 token,请求头字段的名称为插件配置中的name。
测试插件
直接对该路由发起 POST 请求会返回错误:
curl -i http://127.0.0.1:9080/hello -X POSTHTTP/1.1 401 Unauthorized...{"error_msg":"no csrf token in headers"}
当使用 GET 请求,返回中会有携带 token 的 Cookie:
curl -i http://127.0.0.1:9080/helloHTTP/1.1 200 OKSet-Cookie: apisix-csrf-token=eyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ==;path=/;Expires=Mon, 13-Dec-21 09:33:55 GMT
在请求之前,需要从 Cookie 中读取 token,并在随后的 unsafe-methods 请求中的请求头中携带。
例如,在客户端使用 js-cookie 读取 Cookie,使用 axios 发送请求。
const token = Cookie.get('apisix-csrf-token');const instance = axios.create({headers: {'apisix-csrf-token': token}});
你还需要确保你的请求携带了 Cookie。
使用 curl 发送请求:
curl -i http://127.0.0.1:9080/hello -X POST -H 'apisix-csrf-token: eyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ==' -b 'apisix-csrf-token=eyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ=='HTTP/1.1 200 OK
禁用插件
发送一个更新路由的请求,以停用该插件:
curl http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '{"uri": "/hello","upstream": {"type": "roundrobin","nodes": {"127.0.0.1:1980": 1}}}'
CSRF 插件已经被停用。
