首页
/ 在NSwag中实现Swagger UI的XSRF令牌自动注入

在NSwag中实现Swagger UI的XSRF令牌自动注入

2025-05-31 10:34:03作者:庞队千Virginia

背景介绍

在现代Web应用开发中,跨站请求伪造(CSRF/XSRF)防护是必不可少的安全措施。当使用Swagger UI进行API测试时,如何自动注入XSRF令牌到请求头中是一个常见的需求。本文将介绍如何在NSwag项目中实现这一功能。

传统Swashbuckle解决方案

在Swashbuckle中,开发者通常使用UseRequestInterceptor功能来实现XSRF令牌的自动注入。这种方法通过在请求发送前执行JavaScript代码,从cookie中提取XSRF令牌并添加到请求头中。

(request) => { 
  var cv = document.cookie.split('; ')
    .filter(row => row.startsWith('XSRF-TOKEN='))
    .map(c => c.split('=')[1])[0]; 
  request.headers['X-XSRF-TOKEN'] = cv; 
  return request; 
}

虽然这种方法有效,但它依赖于Swashbuckle特定的功能,且代码可读性不高。

NSwag的替代方案

当迁移到NSwag时,我们可以采用更优雅的解决方案。NSwag提供了CustomHeadContent配置选项,允许我们注入自定义JavaScript代码。

实现步骤

  1. 创建自定义JavaScript文件

在项目中创建一个JavaScript文件(如AntiForgery.js),内容如下:

// 保存原始的fetch函数
const originalFetch = window.fetch;

// 重写fetch函数
window.fetch = function(url, options = {}) {
  // 从cookie中获取XSRF令牌
  const xsrfToken = document.cookie
    .split('; ')
    .find(row => row.startsWith('XSRF-TOKEN='))
    ?.split('=')[1];
  
  // 如果找到令牌且options中有headers,则添加XSRF头
  if (xsrfToken) {
    options.headers = options.headers || {};
    if (!options.headers['X-XSRF-TOKEN']) {
      options.headers['X-XSRF-TOKEN'] = xsrfToken;
    }
  }
  
  // 调用原始fetch函数
  return originalFetch(url, options);
};
  1. 配置NSwag中间件

在Startup.cs或Program.cs中配置NSwag中间件:

app.UseSwaggerUi(c => {
    c.CustomHeadContent = @"<script src='./Scripts/AntiForgery.js' charset='UTF-8'></script>";
});
  1. 确保JavaScript文件可访问

确保你的JavaScript文件可以通过./Scripts/AntiForgery.js路径访问。这通常意味着你需要:

  • 将文件放在wwwroot/Scripts目录下
  • 或者配置静态文件中间件来提供该文件

方案优势

  1. 代码分离:将JavaScript逻辑单独放在文件中,提高了可维护性
  2. 可重用性:相同的脚本可以在多个项目中使用
  3. 灵活性:可以轻松修改脚本逻辑而不需要重新编译应用
  4. 标准兼容:使用标准的fetch API拦截技术,不依赖特定框架

注意事项

  1. 路径配置:确保JavaScript文件的路径配置正确,否则脚本将无法加载
  2. 安全考虑:虽然这种方法方便,但要确保不会意外暴露敏感信息
  3. 浏览器兼容性:现代浏览器都支持fetch API,但如果需要支持旧版浏览器,可能需要添加polyfill
  4. 性能影响:拦截所有fetch请求会有轻微性能开销,但在开发环境中通常可以忽略

结论

通过重写fetch函数的方式实现XSRF令牌的自动注入,不仅解决了NSwag中缺少类似Swashbuckle的UseRequestInterceptor功能的问题,还提供了一种更加模块化和可维护的解决方案。这种方法可以轻松扩展到其他需要在请求前处理的场景,如添加认证令牌、统一错误处理等。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
153
1.98 K
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
505
42
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
194
279
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
992
395
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
938
554
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
332
11
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
70