Как применить Ring-Anti-forgery к конкретным маршрутам reitit?
Я продолжаю получать «Недействительный токен защиты от подделки» при упаковке определенных маршрутов, созданных с помощью метозин / reititreitit.ring/ring-router. Я также пробовал reitit's реестр промежуточного программного обеспечения, но это тоже не сработало. Хотя я мог бы просто обернуть весь обработчик wrap-session и wrap-anti-forgery, это сводит на нет преимущество reitit в разрешении промежуточного программного обеспечения, ориентированного на маршрут.
(ns t.core
(:require [immutant.web :as web]
[reitit.ring :as ring]
[ring.middleware.anti-forgery :refer [wrap-anti-forgery]]
[ring.middleware.content-type :refer [wrap-content-type]]
[ring.middleware.params :refer [wrap-params]]
[ring.middleware.keyword-params :refer [wrap-keyword-params]]
[ring.middleware.session :refer [wrap-session]]
[ring.util.anti-forgery :refer [anti-forgery-field]]
[ring.util.response :as res]))
(defn render-index [_req]
(res/response (str "<form action='/sign-in' method='post'>"
(anti-forgery-field)
"<button>Sign In</button></form>")))
(defn sign-in [{:keys [params session]}]
(println "params: " params
"session:" session)
(res/redirect "/index.html"))
(defn wrap-af [handler]
(-> handler
wrap-anti-forgery
wrap-session
wrap-keyword-params
wrap-params))
(def app
(ring/ring-handler
(ring/router [["/index.html" {:get render-index
:middleware [[wrap-content-type]
[wrap-af]]}]
["/sign-in" {:post sign-in
:middleware [wrap-af]}]])))
(defn -main [& args]
(web/run app {:host "localhost" :port 7777}))
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
6
0
562
1
Перейти к ответу
Данный вопрос помечен как решенный
Ответы 1
Ответ принят как подходящий
Оказывается, метозин / reitit создает одно хранилище сеансов для каждого маршрута (дополнительную информацию см. В Выпуск 205); другими словами, защита от подделки кольца не работает, потому что reitit не использует одно и то же хранилище сеансов для каждого маршрута.
На момент этого ответа сопровождающий предлагает следующее (скопировано из проблемы для удобства использования в Stack Overflow):
- смонтируйте сеанс обертывания вне маршрутизатора, чтобы для всего приложения был только один экземпляр mw. Для этого в обработчике вызова есть опция промежуточного программного обеспечения:
(require '[reitit.ring :as ring])
(require '[ring.middleware.session :as session])
(defn handler [{session :session}]
(let [counter (inc (:counter session 0))]
{:status 200
:body {:counter counter}
:session {:counter counter}}))
(def app
(ring/ring-handler
(ring/router
["/api"
["/ping" handler]
["/pong" handler]])
(ring/create-default-handler)
;; the middleware on ring-handler runs before routing
{:middleware [session/wrap-session]}))
- создать единое хранилище сеансов и использовать его в таблице маршрутизации (все экземпляры промежуточного программного обеспечения сеанса будут совместно использовать одно хранилище).
(require '[ring.middleware.session.memory :as memory])
;; single instance
(def store (memory/memory-store))
;; inside, with shared store
(def app
(ring/ring-handler
(ring/router
["/api"
{:middleware [[session/wrap-session {:store store}]]}
["/ping" handler]
["/pong" handler]])))
В этом ответе не показан третий вариант, который сопровождающий требует PR.
Другие вопросы по теме
Как сохранить пользователя в сеансе нуар в веб-проекте compojure?
InputStream для карты Clojure Ring
Lein ring uberjar - java.lang.NoClassDefFoundError: clojure / lang / Var
Compojure Ring Middleware Как использовать ценность вне промежуточного программного обеспечения
Как использовать CORS с ответом JSON в Compojure?
ПО промежуточного слоя Compojure и Ring всегда возвращает ошибку 404
Передача всех запросов в / api / v1 / ** на старый сервер api
Compojure - выполнение HTTP-вызова при достижении маршрута
Как добавить META-INF / context.xml в lein-ring uberwar
Как мне получить доступ к отдельным полям формы в Clojure?
Похожие вопросы
Как мне написать приложение, которое является Clojure REPL?
Как получить имена столбцов с учетом регистра из запроса MySQL с помощью funcool / clojure.jdbc
Рекурсивное закрытие макросов
Как lazy-seq накапливает результат?
Улучшить функцию закрытия
Вычитание двойных чисел
Clojure core.logic. Могу ли я использовать сложные структуры данных в фактах и правилах?
Синтаксис Garden для повторения
Могу ли я заставить lein игнорировать зависимости от любого кода, внешнего по отношению к текущему проекту Clojure?
Привязать условно динамическую переменную из ядра Clojure для обратной совместимости