Блог

Главная - Вопросы по программированию - Экспресс-тестирование приложений NodeJS — Как отправить токен CSRF при тестировании с Mocha и Chai?

Экспресс-тестирование приложений NodeJS — Как отправить токен CSRF при тестировании с Mocha и Chai?

#node.js #express #testing #mocha.js #chai

#node.js #экспресс #тестирование #mocha.js #чай

Вопрос:

Я пытаюсь написать тест для POST маршрута в моем экспресс-приложении, используя Mocha, Chai и ChaiHttp, но я не могу заставить его работать из-за того, что я продолжаю получать HTTP 403 ответ при отправке моего токена CSRF. Ниже приведен код, который у меня есть до сих пор:

express.js конфигурационный файл

 ...
  app.use(session(config.SESSION));
  // csrf is the 'csurf' module
  app.use(csrf());

  app.use((req, res, next) => {
    res.cookie('XSRF-TOKEN', req.csrfToken());
    return next();
  });
...

User.test.js

 'use strict';
process.env.NODE_ENV = 'test';

const User = require('../server/models/User');
const chai = require('chai');
const chaiHttp = require('chai-http');
const server = require('../index');
const utils = require('../utils');

chai.use(chaiHttp);

describe('Users', () => {
  beforeEach((done) => {
    User.remove({}, (err) => {
      done();
    });
  });

  after((done) => {
    server.close();
    done();
  });
...
 /*
   * [POST] /user
   */
  describe('[POST] /user', () => {
    it('should return a JSON object with a "success" property equal to "true" when creating a new user', (done) => {
      const userObj = utils.generateUserObject();

      chai.request(server)
          .get('/api')
          .end((error, response) => {

            userObj._csrf = utils.extractCsrfToken(response.headers['set-cookie']);


            /*
             * Accurately logs the _csrf property with the correct CSRF token that was retrieved via the initial GET request
             * 
             * Example output:
             * 
             * { 
             * username: 'Stacey89',
             * first_name: 'Gregg',
             * last_name: 'King',
             * ...
             * _csrf: 'vBhDfXUq-jE86hOHadDyjgpQOu-uE8FyUp_M' 
             * }
             *
             */ 


            console.log(userObj);

            chai.request(server)
                .post('/api/user')
                .set('content-type', 'application/x-www-form-urlencoded')
                .send(userObj)
                .end((err, res) => {
                  res.should.have.status(200);
                  res.body.should.be.a('object');
                  res.body.should.have.property('success').eql('true');
                  done();
                });
          });
    });
...

utils.js

 ...
  extractCsrfToken(cookiesObj) {
    const cookiesArray = Array.prototype.join.call(cookiesObj, '').split(';');
    let csrfToken = 'NOT FOUND';

    cookiesArray.forEach((cookie) => {
      if (cookie.includes('XSRF-TOKEN')) {
        csrfToken = cookie.split('=').splice(1, 1).join('');
      }
    });

    return csrfToken;
  }
...

Когда я запускаю вышеуказанный тест, я получаю следующую ошибку:

 ForbiddenError: invalid csrf token
...
POST /api/user 403

Странно то, что если я выполняю запрос POST от Postman с точно такой же конфигурацией, как описанная ранее, я успешно получаю ответ, который ищу, и отправка формы завершается успешно.

Похоже, что он не работает только при отправке userObj из моего набора тестов.

ОБНОВЛЕНИЕ # 1 Мне наконец удалось найти рабочее решение моей проблемы.

Я обновил промежуточное программное обеспечение, для которого ранее устанавливался файл XSRF-TOKEN cookie, на следующее:

   app.use((err, req, res, next) => {
    res.locals._csrf = req.csrfToken();
    return next();
  });

Теперь модульный тест выполняется успешно.

Более того, я заметил, что первый [GET] запрос, отправленный на сервер, возвращает Set-Cookie заголовок:

 Status Code: 200 OK
Content-Length: 264
Content-Type: application/json; charset=utf-8
Date: Tue, 18 Oct 2016 12:10:09 GMT
Etag: W/"108-NSQ2HIdRqiuMIf0F 7qwjw"
Set-Cookie: connect.sid=s:p5io8_3iD7Wy0X0K77qWZLoYj-fD1ZbA.6uvcBiB++Si1KOVOmJgvWe+5Mqpuc1rs9yUYxH0uNPY; Path=/; HttpOnly
X-Download-Options: noopen
X-XSS-Protection: 1; mode=block
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-frame-options: SAMEORIGIN

Любой последующий [GET] запрос не возвращает этот заголовок:

 Status Code: 200 OK
Content-Length: 264
Content-Type: application/json; charset=utf-8
Date: Tue, 18 Oct 2016 12:11:19 GMT
Etag: W/"108-NSQ2HIdRqiuMIf0F 7qwjw"
X-Download-Options: noopen
X-XSS-Protection: 1; mode=block
x-content-type-options: nosniff
x-dns-prefetch-control: off
x-frame-options: SAMEORIGIN

Это нормально с точки зрения безопасности приложений? Рекомендуется ли просто устанавливать _csrf токен на res.locals объект?

Ответ №1:

Метод send() chai-http предназначен для отправки json (что обычно требует использования синтаксического анализатора тела json). Итак, вы также не должны устанавливать content-type на application/x-www-form-urlencoded .

Если вы не используете анализатор тела json и действительно хотите отправить его в виде данных формы, метод field() должен работать:

 chai.request(server)
    .post('/api/user')
    .field('_csrf', _csrf)
    .end((err, res) => {
        res.should.have.status(200);
        res.body.should.be.a('object');
        res.body.should.have.property('success').eql('true');
        done();
    });

Комментарии:

1. Я не пытаюсь отправить его через cookie — я отправляю токен _csrf как часть req.body

2. Где определяется _csrf?