需求分析

XSRF 又名 CSRF),跨站请求伪造,它是前端常见的一种攻击方式,我们先通过一张图来认识它的攻击手段。
xsrf
CSRF 的防御手段有很多,比如验证请求的 referer,但是 referer 也是可以伪造的,所以杜绝此类攻击的一种方式是服务器端要求每次请求都包含一个 token,这个 token 不在前端生成,而是在我们每次访问站点的时候生成,并通过 set-cookie 的方式种到客户端,然后客户端发送请求的时候,从 cookie 中对应的字段读取出 token,然后添加到请求 headers 中。这样服务端就可以从请求 headers 中读取这个 token 并验证,由于这个 token 是很难伪造的,所以就能区分这个请求是否是用户正常发起的。
对于我们的 ts-axios 库,我们要自动把这几件事做了,每次发送请求的时候,从 cookie 中读取对应的 token 值,然后添加到请求 headers中。我们允许用户配置 xsrfCookieNamexsrfHeaderName,其中 xsrfCookieName 表示存储 tokencookie 名称,xsrfHeaderName 表示请求 headerstoken 对应的 header 名称。

  1. axios.get('/more/get',{
  2.   xsrfCookieName: 'XSRF-TOKEN', // default
  3.   xsrfHeaderName: 'X-XSRF-TOKEN' // default
  4. }).then(res => {
  5.   console.log(res)
  6. })

我们提供 xsrfCookieNamexsrfHeaderName 的默认值,当然用户也可以根据自己的需求在请求中去配置 xsrfCookieNamexsrfHeaderName

代码实现

先修改 AxiosRequestConfig 的类型定义。
types/index.ts

  1. export interface AxiosRequestConfig {
  2.   // ...
  3.   xsrfCookieName?: string
  4.   xsrfHeaderName?: string
  5. }

然后修改默认配置。
defaults.ts

  1. const defaults: AxiosRequestConfig = {
  2.   // ...
  3.   xsrfCookieName: 'XSRF-TOKEN',
  5.   xsrfHeaderName: 'X-XSRF-TOKEN',
  6. }

接下来我们要做三件事:

  • 首先判断如果是配置 withCredentialstrue 或者是同域请求,我们才会请求 headers 添加 xsrf 相关的字段。
  • 如果判断成功,尝试从 cookie 中读取 xsrftoken 值。
  • 如果能读到,则把它添加到请求 headersxsrf 相关字段中。

我们先来实现同域请求的判断。
helpers/url.ts

  1. interface URLOrigin {
  2.   protocol: string
  3.   host: string
  4. }
  7. export function isURLSameOrigin(requestURL: string): boolean {
  8.   const parsedOrigin = resolveURL(requestURL)
  9.   return (
  10.     parsedOrigin.protocol === currentOrigin.protocol && parsedOrigin.host === currentOrigin.host
  11.   )
  12. }
  14. const urlParsingNode = document.createElement('a')
  15. const currentOrigin = resolveURL(window.location.href)
  17. function resolveURL(url: string): URLOrigin {
  18.   urlParsingNode.setAttribute('href', url)
  19.   const { protocol, host } = urlParsingNode
  21.   return {
  22.     protocol,
  23.     host
  24.   }
  25. }

同域名的判断主要利用了一个技巧,创建一个 a 标签的 DOM,然后设置 href 属性为我们传入的 url,然后可以获取该 DOM 的 protocolhost。当前页面的 url 和请求的 url 都通过这种方式获取,然后对比它们的 protocolhost 是否相同即可。
接着实现 cookie 的读取。
helpers/cookie.ts

  1. const cookie = {
  2.   read(name: string): string | null {
  3.     const match = document.cookie.match(new RegExp('(^|;\\s*)(' + name + ')=([^;]*)'))
  4.     return match ? decodeURIComponent(match[3]) : null
  5.   }
  6. }
  8. export default cookie

cookie 的读取逻辑很简单,利用了正则表达式可以解析到 name 对应的值。
最后实现完整的逻辑。
core/xhr.ts

  1. const {
  2.   /*...*/
  3.   xsrfCookieName,
  4.   xsrfHeaderName
  5. } = config
  7. if ((withCredentials || isURLSameOrigin(url!)) && xsrfCookieName){
  8.   const xsrfValue = cookie.read(xsrfCookieName)
  9.   if (xsrfValue) {
  10.     headers[xsrfHeaderName!] = xsrfValue
  11.   }
  12. }

demo 编写

  1. const instance = axios.create({
  2.   xsrfCookieName: 'XSRF-TOKEN-D',
  3.   xsrfHeaderName: 'X-XSRF-TOKEN-D'
  4. })
  6. instance.get('/more/get').then(res => {
  7.   console.log(res)
  8. })

examples/server.js

  1. app.use(express.static(__dirname, {
  2.   setHeaders (res) {
  3.     res.cookie('XSRF-TOKEN-D', '1234abc')
  4.   }
  5. }))

在访问页面的时候,服务端通过 set-cookie 往客户端种了 keyXSRF-TOKEN,值为 1234abccookie,作为 xsrftoken 值。
然后我们在前端发送请求的时候,就能从 cookie 中读出 keyXSRF-TOKEN 的值,然后把它添加到 keyX-XSRF-TOKEN 的请求 headers 中。
至此,我们实现了 XSRF 的自动防御的能力,下节课我们来实现 ts-axios 对上传和下载请求的支持。