帆船JS禁岗请求

Question

我正在努力学习Sails，当然还有REST。

我已经创建了一个用户模型，我认为它工作得很好(它可以与我的db通信数据)。我还创建了一个带有4个所需输入的注册控制器，以便在我的用户集合中存储一个新记录。(该控制器生成其他一些数据，以便在注册时完成记录)

我想用邮递员测试这个控制器，所以我转到我的routes.js上看：

'POST  /api/v1/entrance/signup': { action: 'entrance/signup' },

但是，当我在192.168.1.13:1338/api/v1/entrance/signup输入一个帖子请求时，我声明了我需要的4个输入，我得到了这样的答案：For禁忌

我不知道我做错了什么。我还在blueprints.js中启用了rest、快捷方式和操作

有人有主意吗？:)

Answer 1

如前所述，取消CSRF保护并不是一个答案，因为它可能会使api暴露于安全漏洞。我目前使用JWT，但它似乎不像CSRF令牌那样安全，所以唯一正确的方法是在每个HTTP的请求头中包含令牌。

Answer 2

这个问题确实与跨站点请求伪造有关，但是完全禁用相应的安全规则显然不是一个解决方案。手册的相应部分很好地描述了帆船中的CSRF及其治疗。简而言之，要使帖子正常工作，就必须在请求中包含_csrf。例如，在视图模板中：

<form>
   <input type="hidden" name="_csrf" value="<%- _csrf %>" />
</form>