那些遇到过的问题

如何在启用 CSRF 安全性的情况下测试 Sails.js v1.0 登录控制器(使用 mocha、supertest)?

car*_*iem 2 testing csrf mocha.js supertest sails.js

我有一个几乎全新的 Sails.js 1.0.2 应用程序,我可以使用浏览器和 Postman 登录。但是,我似乎无法在我的测试运行器中执行相同的过程。

下面的测试应该会导致成功登录,其中会返回一个带有新会话 ID 的 cookie。如果我更改安全配置以禁用CSRF 保护,它会完美运行。但是在启用安全性的情况下,请求被禁止 (403)。我在 Postman 中发送的内容之间唯一的实质性区别似乎是 mocha 在不同的端口上运行应用程序(Postman 发送到localhost:1337, express' res 变量说PUT /api/v1/entrance/login HTTP/1.1 Host: 127.0.0.1:56002

有人看到我遗漏的东西吗?

这是测试文件:

/**
 * /test/integration/controllers/entrance/login.test.js
 */

'use strict';

const supertest = require('supertest');  // also tried supertest-session

describe('Entrance controllers', () => {

  describe('/api/v1/entrance/login', () => {

    before(() => {
      return supertest(sails.hooks.http.app)
      .get('/login')
      .then(res => {
        const reTokenCapture = /_csrf:\s*unescape\('([^']+)'\)/;
        const found = reTokenCapture.exec(res.text);
        this._csrf = sails.config.security.csrf ? found[1] : '';
        this.url = '/api/v1/entrance/login';
      });
    });

    it('should return a session cookie in response headers', () => {
      return supertest(sails.hooks.http.app)
      .put(this.url)
      .set('x-csrf-token', this._csrf)
      .send({
        emailAddress: 'admin@example.com',
        password: 'abc123',
        // _csrf: this._csrf,  // I tried this too; no luck
      })
      .expect(200)  // if sails.config.security.csrf is enabled, status is 403
      .then(res => {
        // console.log('res:', res);  // this shows the correct header
        res.headers['set-cookie'].should.be.an('array');
        const hasSid = res.headers['set-cookie'].map(cookie => {
          const reSid = /^sails\.sid=[^;]+;\sPath=\/;(?:\sExpires=[^;]+GMT;)?\sHttpOnly$/;
          return reSid.test(cookie);
        });
        hasSid.should.include.members([true]);
      });
    });

  });

});
Run Code Online (Sandbox Code Playgroud)

我正在运行 node v8.11.3、sails v1.0.2、mocha v5.2.0、supertest v3.1.0、chai v4.1.2

仅供参考,这是 Postman 提出的请求,运行良好(CSRF 令牌是由之前的 Postman 请求手动复制到 的GET /login):

PUT /api/v1/entrance/login HTTP/1.1
Host: localhost:1337
x-csrf-token: mjWXQTa2-RFEHu78Tr-JGJwhWeryKGRJI4S8
Cache-Control: no-cache
Postman-Token: e3d920fe-6178-4642-80e4-8005b477fd98

{"emailAddress": "admin@example.com", "password":"abc123"}
Run Code Online (Sandbox Code Playgroud)

car*_*iem 5

知道了!我以为我打算set-cookie在登录后从标题中获取会话 ID 。相反,我打算在注销时同时捕获 CSRF 令牌和会话 ID,然后提交电子邮件和密码,然后在中使用令牌和 ID后续请求。我错过了 Postman 中的这个细节,因为我没有注意到请求之间持续存在的 cookie。

这是固定的测试文件(现在启用 CSRF 保护)

/**
 * /test/integration/controllers/entrance/login.test.js
 */

'use strict';

const supertest = require('supertest');  // also tried

describe('Entrance controllers', () => {

  describe('/api/v1/entrance/login', () => {

    before(() => {
      this._url = '/api/v1/entrance/login';

      return supertest(sails.hooks.http.app).get('/login')
      .then(getRes => {
        const reTokenCapture = /_csrf:\s*unescape\('([^']+)'\)/;
        const foundToken = reTokenCapture.exec(getRes.text);
        this._csrf = sails.config.security.csrf ? foundToken[1] : '';
        this._cookie = getRes.headers['set-cookie'].join('; ');
      });

    });

    it('should accept the session ID & CSRF token procured by GET /login', () => {
      return supertest(sails.hooks.http.app)
      .put(this._url)
      .set('Cookie', this._cookie)
      .set('X-CSRF-Token', this._csrf)
      .send({
        emailAddress: 'admin@example.com',
        password: 'abc123',
      })
      .expect(200);
    });

    it('should reject requests without a CSRF token', () => {
      return supertest(sails.hooks.http.app)
      .put(this._url)
      .set('Cookie', this._cookie)
      .expect(403);
    });

    it('should reject requests without a session cookie', () => {
      return supertest(sails.hooks.http.app)
      .put(this._url)
      .set('Cookie', '')
      .set('x-csrf-token', this._csrf)
      .expect(403);
    });

    it('should reject requests with invalid tokens', () => {
      return supertest(sails.hooks.http.app)
      .put(this._url)
      .set('Cookie', 'sails.sid=foo; Path=/; HttpOnly')
      .set('X-CSRF-Token', 'foo')
      .send({
        emailAddress: 'admin@example.com',
        password: 'abc123',
      })
      .expect(403);
    });

    it('should reject requests with invalid credentionals', () => {
      return supertest(sails.hooks.http.app)
      .put(this._url)
      .set('Cookie', this._cookie)
      .set('X-CSRF-Token', this._csrf)
      .send({
        emailAddress: 'user@example.com',
        password: 'password'
      })
      .expect(401);
    });

    it('should reject get requests', () => {
      return supertest(sails.hooks.http.app)
      .get(this._url)
      .set('Cookie', this._cookie)
      .set('X-CSRF-Token', this._csrf)
      .send({
        emailAddress: 'admin@example.com',
        password: 'abc123',
      })
      .expect(404);
    });

    it('should reject post requests', () => {
      return supertest(sails.hooks.http.app)
      .post(this._url)
      .set('Cookie', this._cookie)
      .set('X-CSRF-Token', this._csrf)
      .send({
        emailAddress: 'admin@example.com',
        password: 'abc123',
      })
      .expect(404);
    });

  });

});
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

802 次

最近记录:

7 年,3 月 前
相关归档
如何自动将db:seed数据加载到测试数据库中? 117
在Angular 2 RC5之后,测试失败了 12
是否有与QuickCheck一起使用的Monadic版本的Arbitrary? 9
单元测试Python Flask Stream 9
数字输入的测试用例 5
Bamboo 无法识别我的 Spring 项目中的测试 5
调用PostgreSQL函数的语法,该函数在其参数中包含一个数组 4
如何测试对象是否被处置并且GC? 2
如何检测CSRF漏洞 2
软件测试 0
难疑归档
如何使用正则表达式验证电子邮件地址? 3201
从Git中的分支中删除提交 3035
什么是依赖注入? 2984
"git add -A"和"git add"之间的区别. 2788
在Python中手动引发(抛出)异常 2079
获取屏幕大小,当前网页和浏览器窗口 1927
npm install的--save选项是什么? 1779
如何一次删除所有Git stashes? 1280
生成0到9之间的随机整数 1224
git:撤消所有工作目录更改,包括新文件 1108