openclaw/oikos
1
0
Fork 0
Code Issues 1 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
a5cb4e63f1b9ba9ffe27d52dc149288a2c651067
oikos/server/middleware/csrf.js
T
Ulas b139eea623 refactor(esm): migrate server and tests from CommonJS to ESM 
Convert all server/, test, and setup files from require()/module.exports
to import/export syntax. Activate ESM globally via "type": "module" in
package.json and load dotenv via --import dotenv/config in npm scripts.
2026-04-03 23:11:20 +02:00

70 lines
2.2 KiB
JavaScript
Raw Blame History

/**
* Modul: CSRF-Schutz (Double Submit Cookie Pattern)
* Zweck: Schützt state-ändernde API-Endpunkte vor Cross-Site Request Forgery
* Abhängigkeiten: node:crypto
*
* Funktionsweise:
* 1. Beim ersten authentifizierten Request wird ein 32-Byte-Hex-Token in der Session gespeichert.
* 2. Das Token wird als nicht-httpOnly-Cookie gesetzt (lesbar durch JavaScript).
* 3. Das Frontend liest das Cookie und sendet es als X-CSRF-Token-Header.
* 4. Der Server vergleicht Header und Session-Token per timingSafeEqual.
* 5. GET/HEAD/OPTIONS sind ausgenommen (safe methods).
*/
import crypto from 'node:crypto';
const TOKEN_LENGTH = 32; // Bytes → 64 Hex-Zeichen
/**
* Generiert einen kryptographisch sicheren CSRF-Token.
* @returns {string} 64-stelliger Hex-String
*/
function generateToken() {
return crypto.randomBytes(TOKEN_LENGTH).toString('hex');
}
/**
* CSRF-Middleware für authentifizierte API-Routen.
* Muss NACH requireAuth eingebunden werden.
*/
function csrfMiddleware(req, res, next) {
// Token generieren falls noch nicht vorhanden (erste Request nach Login)
if (!req.session.csrfToken) {
req.session.csrfToken = generateToken();
}
// Cookie bei jedem Request erneuern (SameSite=Strict, nicht httpOnly → JS-lesbar)
res.cookie('csrf-token', req.session.csrfToken, {
httpOnly: false,
sameSite: 'strict',
secure: process.env.SESSION_SECURE !== 'false',
maxAge: 1000 * 60 * 60 * 24 * 7, // 7 Tage (gleich wie Session)
});
// Safe Methods benötigen keine Validierung
if (['GET', 'HEAD', 'OPTIONS'].includes(req.method)) {
return next();
}
// CSRF-Token aus Header prüfen
const headerToken = req.headers['x-csrf-token'] ?? '';
const sessionToken = req.session.csrfToken;
const expectedLen = TOKEN_LENGTH * 2; // 64 Hex-Zeichen
const tokenValid =
headerToken.length === expectedLen &&
sessionToken.length === expectedLen &&
crypto.timingSafeEqual(
Buffer.from(headerToken, 'hex'),
Buffer.from(sessionToken, 'hex')
);
if (!tokenValid) {
return res.status(403).json({ error: 'Ungültiges CSRF-Token.', code: 403 });
}
next();
}
export { csrfMiddleware, generateToken };
Reference in New Issue View Git Blame Copy Permalink