Wie implementiere ich den CSRF-Schutz in Ajax-Aufrufen mit express.js (auf der Suche nach einem vollständigen Beispiel)?

Ich versuche, den CSRF-Schutz in einer App zu implementieren, die mit node.js und dem Framework express.js erstellt wurde. Die App nutzt Ajax-Post-Calls zum Server in Hülle und Fülle. Ich verstehe, dass das Connect-Framework CSRF-Middleware bereitstellt, bin mir jedoch nicht sicher, wie es im Rahmen clientseitiger Ajax-Post-Requests implementiert werden soll.

In anderen Fragen, die hier in stackoverflow veröffentlicht wurden, gibt es einige Details dazu, aber ich muss noch ein einigermaßen vollständiges Beispiel finden, wie es sowohl auf Client- als auch auf Serverseite implementiert werden kann.

Hat jemand ein funktionierendes Beispiel, das er mitteilen möchte, wie dies umgesetzt werden soll? Die meisten Beispiele, die ich gesehen habe, gehen davon aus, dass Sie das Formular serverseitig rendern und es dann (zusammen mit dem eingebetteten Formularfeld csrf_token) an den Client senden. In meiner App werden alle Inhalte auf der Clientseite (einschließlich Vorlagen) über Backbone.js gerendert. Der Server stellt lediglich Werte im JSON-Format bereit, die von verschiedenen Modellen in Backbone.js auf der Clientseite verwendet werden. Nach meinem Verständnis müsste ich zuerst den csrf_token über Ajax abrufen, bevor er verwendet werden kann. Ich befürchte jedoch, dass dies unter Sicherheitsaspekten problematisch sein könnte. Ist das ein berechtigtes Anliegen?

Antworten auf die Frage(5)

Ihre Antwort auf die Frage