質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.61%

  • JavaScript

    15924questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

  • Node.js

    1796questions

    Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

  • Express

    232questions

    ExpressはNode.jsのWebアプリケーションフレームワークです。 マルチページを構築するための機能セットおよびハイブリッドのWebアプリケーションを提供します。

Node+express Multer Csrfでエラー

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 166

uroncha

score 21

node.js + express でWEBサービスを構築しようとしています。

Multerを使ったファイルのアップロードの仕組みを作りたくて、
下のようにプログラムを書きました。

var upload = multer({ dest: './upload_data/' }).single('upload_file');

app.get('/', function (req, res) {
    res.render('index.ejs');
});

app.post('/', function (req, res, next) {
    upload(req, res, function(err) {
        if (err) next(err);
        else     res.render('result.ejs', {dd : req.file});
    });
});
    <form method="post", enctype="multipart/form-data", action="/">
        <input type="file", name="upload_file">
        <input type="submit" value="UPDATE">
    </form>


ココまでは上手く動いたのですが、csrfに対応させようとするとエラーになってしまいます。
ForbiddenError: invalid csrf token

csrfを実装したソースは下記のように書きました。

var ejs = require('ejs');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var csrf = require('csurf');

var app = express();

app.engine('ejs', ejs.renderFile);

app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(csrf({ cookie: true }));

app.use(function(req, res, next) {
    res.locals.csrfToken = req.csrfToken();
    next();
});

var upload = multer({ dest: './upload_data/' }).single('upload_file');

app.get('/', function (req, res) {
    res.render('index.ejs');
});

app.post('/', function (req, res, next) {
    upload(req, res, function(err) {
        if (err) next(err);
        else     res.render('result.ejs', {dd : req.file});
    });
});
    <form method="post", enctype="multipart/form-data", action="/">
        <input type="file", name="upload_file">
        <input type="submit" value="UPDATE">
        <input type="hidden" name="_csrf" value="<%= csrfToken %>">
    </form>


csrf+multerを使う為のコツを教えて頂きたいです。
よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

check解決した方法

0

自己解決したので記載します。

app.use(csrf)より前にapp.useでmulterを書いたらエラーが無くなりました。
但しこの場合ファイルのアップロードがされない場合でも必ずapp.use(multer)を通りますが
このやり方は問題ないのでしょうか?

var ejs = require('ejs');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var multer = require('multer');
var csrf = require('csurf');

var app = express();

app.engine('ejs', ejs.renderFile);

app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(cookieParser());

//app.use(csrf)より前にapp.useでmulterを書いたらエラーが無くなりました。
app.use(multer({ dest: './upload_data/' }).single('upload_file'));
app.use(csrf({ cookie: true }));

app.use(function(req, res, next) {
    res.locals.csrfToken = req.csrfToken();
    next();
});

app.get('/', function (req, res) {
    res.render('index.ejs');
});

app.post('/', function (req, res, next) {
    res.render('result.ejs', {dd : req.file});
});
<form method="post", enctype="multipart/form-data", action="/">
    <input type="file", name="upload_file">
    <input type="submit" value="UPDATE">
    <input type="hidden" name="_csrf" value="<%= csrfToken %>">
</form>

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

csrfって質問タイトルに書いたほうがいいと思います。

よくわかりませんが外部モジュールはこれ(csrf)ですか?
こういうのもちゃんと記述しないと回答者はわかりません。こっちが予想して調べるのは非効率です。

外部モジュールを使っている場合はこれの呼び出し部分も正確に記載したほうがよろしいかと。

仮にこのモジュールだとした場合サンプル見る限り実装方法が正しいようには見えないのですが…

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/05/31 19:35

    大変失礼いたしました。
    csrfの実装に困っている事、また現状実装方法の詳細を追記しました。
    アドバイスよろしくお願いいたします。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • JavaScript

    15924questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

  • Node.js

    1796questions

    Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

  • Express

    232questions

    ExpressはNode.jsのWebアプリケーションフレームワークです。 マルチページを構築するための機能セットおよびハイブリッドのWebアプリケーションを提供します。