用过Koa的码农都知道,在Koa中获取POST提交的数据需要配置第三方的中间件,而Egg继承于Koa,在这一方面做了优化,获取POST提交的数据不需要再配置其它的中间件了,并添加了安全机制 CSRF 的防范,在Egg中获取用户提交的POST数据主要有以下两种方法。
第一种:在用户访问需要POST提交数据的页面时,返回CSRF密钥,当用户提交数据时,将CSRF密钥一起返回,以下是具体的实现。
1. 在router.js中配置路由。
代码语言:javascript复制'use strict';
module.exports = app => {
const { router, controller } = app;
router.get('/', controller.home.index);
router.post('/add', controller.home.add);
};2. 在config文件夹下的config.default.js 中配置模板引擎。
代码语言:javascript复制'use strict';
module.exports = appInfo => {
const config = exports = {};
// use for cookie sign key, should change to your own and keep security
config.keys = appInfo.name '_1532511512428_3477';
// add your config here
config.middleware = [];
// 配置模板引擎
config.view = {
mapping: {
'.html': 'ejs',
},
};
return config;
};3. 在controller中定义控制器文件home.js,并添加控制器方法。
代码语言:javascript复制'use strict';
const Controller = require('egg').Controller;
class HomeController extends Controller {
async index() {
// this.ctx.csrf 用户访问这个页面的时候生成一个密钥
await this.ctx.render('home', {
// 将密钥返回用户端,让用户提交后返回
csrf: this.ctx.csrf
});
}
// 接收post提交的数据
async add() {
console.log(this.ctx.request.body);
}
}
module.exports = HomeController;4. 在view中定义模板文件home.html,并在表单地址中绑定服务端返回的csrf,当用户提交时与其它数据一起回传。
代码语言:javascript复制<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
</head>
<body>
<!-- 将csrf的值拼接在地址后面,提交时回传 -->
<form action="/add?_csrf=<%=csrf%>" method="POST">
用户名: <input type="text" name="username"/><br><br>
密 码: <input type="password" name="password" type="password"/><br><br>
<button type="submit">提交</button>
</form>
</body>
</html>第二种:在中间件中配置全局的CSRF密钥,在需要提交POST数据的页面添加一个隐藏表单域,当用户提交时,将CSRF密钥一起返回,以下是具体的实现。
1. 在router.js中配置路由。
代码语言:javascript复制'use strict';
module.exports = app => {
const { router, controller } = app;
router.get('/', controller.home.index);
router.post('/add', controller.home.add);
};2. 在config文件夹下的config.default.js 中配置模板引擎与中间件。
代码语言:javascript复制'use strict';
module.exports = appInfo => {
const config = exports = {};
// use for cookie sign key, should change to your own and keep security
config.keys = appInfo.name '_1532511512428_3477';
// 配置设置全局csrf的中间件
config.middleware = ['auth'];
// 配置模板引擎
config.view = {
mapping: {
'.html': 'ejs',
},
};
return config;
};3. 在controller中定义控制器文件home.js,并添加控制器方法。
代码语言:javascript复制'use strict';
const Controller = require('egg').Controller;
class HomeController extends Controller {
async index() {
// 渲染home.html模板文件
await this.ctx.render('home');
}
// 接收post提交的数据
async add() {
console.log(this.ctx.request.body);
}
}
module.exports = HomeController;4. 在view中定义模板文件home.html,用隐藏表单域绑定服务端返回的csrf,当用户提交时与其它数据一起回传。
代码语言:javascript复制<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
</head>
<body>
<form action="/add" method="POST">
<!-- 用隐藏表单域绑定全局的csrf -->
<input type="hidden" name="_csrf" value="<%=csrf%>">
用户名: <input type="text" name="username" /><br><br>
密 码: <input type="password" name="password" type="password" /><br><br>
<button type="submit">提交</button>
</form>
</body>
</html>5. 在middleware中定义中间件文件auth.js,配置全局的csrf。
代码语言:javascript复制module.exports=(option,app)=>{
return async function auth(ctx,next){
// 设置模板全局变量
ctx.state.csrf=ctx.csrf;
await next();
}
}
