expressjs conditional CSRF

現在一般基本的網路服務,為了安全性,會加上 CSRF 的保護,如果

用 ajax 的方式傳資料,一般可以跳過,或是,加在 ajax 的 header 裏面


在 Django 下面的話,如果不檢查的話,會加個 decorator @csrf_exempt

在 expressjs 下面,加 ajax header 是可行的,不過懶一點,目前 API 路徑的
請求,先跳過,以下筆記



/**
* Module dependencies.
*/

var express = require(’express’)
, csrf = express.csrf()
, fs = require(‘fs’)
, mongoStore = require(‘connect-mongo’)(express)
, flash = require(‘connect-flash’)
, helpers = require(‘view-helpers’)
, mongoose = require(‘mongoose’)
, http = require(‘http’)
, path = require(‘path’)
, i18n = require(‘i18n’);


// I olny cut the block of csrf setup

// adds CSRF support
if (process.env.NODE_ENV !== ’test’) {

// conditinal CSRF

var conditionalCSRF = function(req, res, next){

// bypass urlpath start with api and moreurl

if (! /^/(api|moreurl)/.test(req.path)){
csrf(req, res, next);
} else {
next();
}
}
//app.use(express.csrf());
app.use(conditionalCSRF);
}

// This could be moved to view-helpers :-)
app.use(function(req, res, next){
res.locals.csrf_token = req.session._csrf
next()
})


參考
http://stackoverflow.com/questions/13516898/disable-csrf-validation-for-some-requests-on-express

http://stackoverflow.com/questions/11200068/how-to-implement-csrf-protection-in-ajax-calls-using-express-js-looking-for-com

Full Stack

部落格,以當筆記,日記的好處來說,他是比較老派的東西

資料永遠找的到,再來就是因為是舊東西,官方不會一直改介面,或是功能

算算先前自己做玩具時,都沒有好好紀錄,最後結束剩的就真的只有

回憶,這一次,先不管,是好,是壞,會成功,會失敗,都要來紀錄,這就是對軟體的愛吧

今天是颱風假,就說說這一次用的 Stack 好了

白天的工作職務,算是硬派的系統分析,及 Python 程式撰寫

身為熱血工程師 (雖然年紀不小了,不過好歹,血還是熱的),晚上寫的東西

想試試和白天不同的,所以 backend 就先這樣吧

Backend


nginx

node.js

Golang

mongodb


Front End

這一部份有些還沒有想好,大概就是會有


Web (html5,很想直接放生 IE 舊版的,不過會做嵌入的 js 或是 iframe ,不知道,這樣會不會讓人覺得太大牌)

Mobile Web ,基本上和 Web 一樣

Android App (就自己先刻)

iPhone App (沒有 Mac book Air 先放棄,其他先做 已敗家)

Real Time


就 nginx push stream module 先頂一下吧

collaboration


https://bitbucket.org/ 的免費方案加減用了

原型

要做新玩具,當然就是用新技術來做才叫潮

所以馬上就用最新版的 bootstrap 3 還有

最新的 angular.js 1.2.0rc1 AngularJS

不由的抱怨下,bootstrap 一下子把 icon 移出去,一下子又把 svg icon 移回來,還蠻機車的,最

白痴的就是, namespace 改來改去,但是我還是很不爭氣的繼續用了 ( 加入他們),前端的 icon fonts 部份,真的

推荐一下 http://fontello.com/ 真是有潔癖的前端工程師救星

可以把你需要的 svg icon 選起來,客製成自己專屬的 icon font,還蠻乾淨的

Angular.js 1.2.0rc1 部份,也是向更大一包邁進,和原本 1.1.5 系列不同的是,模組切更多,有用到

$routeProvider, $locationProvider 的把 angular-route.min.js 加入頁面,app 記得要 module inject

像是我開始做的 dashboard 原型這樣


var app = angular.module(‘homeApp’, [’ngRoute’]);


PS: 用新技術不是為了潮啦,現在誰不做 mobile app,server side 的部份搞 API 大融合,client 部份,就可以 Web App , Desktop App, App (iOS, Android) 3P,4P 皆宜

發想筆記

最近有不自量力的投了一份高薪 SA 的職缺,不過被打槍了,也看到了自己不足的地方,就算你可以很快的學會

機會還是會保留給已經會,且有經驗的人


我想該是為自己努力的時候了,尤其是身為一個軟體開發相關的人員,相信這還是最終要走的道路,你可以熱愛

創造有用,有趣的軟體,可是在台灣的職場上,要找尋,可以把軟體開發,當成終身樂趣的工作,少之又少

應該可以說沒有,沒有的東西,除了自己創造,應該沒有其他辦法

先前,自己有做過一些玩具,網路名片,房地產,股市網站,這一次,想當個 copy cat 好了,就來做類似

http://registrano.com/ 的東西,我想解決的問題點,除了報名,想要處理報到,還有排隊

的問題,相信一個報名的工具,應該很多地方都可以用,只用在活動報名有點可惜

目前,進行第一步,就先買個地點便宜,可以做商業登記的點,作為辦公室好了,既然是網路業,公司登記先省了

主機,網域,應該都是美國的,買好的辦公室,就先當永久住址就好,辦公室還是先租人 :-)

Install nginx-push-stream-module

要在 Debian 上面安裝,標準官方的 nginx 加上 https://github.com/wandenberg/nginx-push-stream-module 模組

做個筆記,這裡的 nginx 並不是 Debian 官方的 deb,是由 nginx 官方釋出的 deb

裝 官方 nginx ,加個 sources.list 先


# nginx
# wget http://nginx.org/keys/nginx_signing.key
# sudo apt-key add nginx_signing.key
#
deb http://nginx.org/packages/debian/ wheezy nginx
deb-src http://nginx.org/packages/debian/ wheezy nginx



#裝 build depend package

apt-get build-dep nginx

#下載 source
apt-get source nginx

#git clone nginx module ,照官方文件設定環境

git clone https://github.com/wandenberg/nginx-push-stream-module
NGINX_PUSH_STREAM_MODULE_PATH=$PWD/nginx-push-stream-module

# 這時候資料夾,應該有 nginx-1.4.2 的資料夾,看現在新的套件版本

cd nginx-1.4.2

# 編輯一下 vim debian/rules


override_dh_auto_build:
dh_auto_build
mv objs/nginx objs/nginx.debug
./configure <br />–prefix=/etc/nginx <br />–sbin-path=/usr/sbin/nginx <br />–conf-path=/etc/nginx/nginx.conf <br />–error-log-path=/var/log/nginx/error.log <br />–http-log-path=/var/log/nginx/access.log <br />–pid-path=/var/run/nginx.pid <br />–lock-path=/var/run/nginx.lock <br />–http-client-body-temp-path=/var/cache/nginx/client_temp <br />–http-proxy-temp-path=/var/cache/nginx/proxy_temp <br />–http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp <br />–http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp <br />–http-scgi-temp-path=/var/cache/nginx/scgi_temp <br />–user=nginx <br />–group=nginx <br />–with-http_ssl_module <br />–with-http_realip_module <br />–with-http_addition_module <br />–with-http_sub_module <br />–with-http_dav_module <br />–with-http_flv_module <br />–with-http_mp4_module <br />–with-http_gunzip_module <br />–with-http_gzip_static_module <br />–with-http_random_index_module <br />–with-http_secure_link_module <br />–with-http_stub_status_module <br />–with-mail <br />–with-mail_ssl_module <br />–with-file-aio <br />$(WITH_SPDY) <br />–with-cc-opt="$(CFLAGS)" <br />–with-ld-opt="$(LDFLAGS)" <br />–add-module=../nginx-push-stream-module \ # 就加這一行而已
–with-ipv6
dh_auto_build


#執行

dpkg-buildpackage -b

這樣就包好,可以安裝測試了,不想要更新的話,就把他版本 hold 住


最近試了, socket.iosockjs 還是都沒有讓人覺得很滿意

看看國外 disqus 推荐的 https://github.com/wandenberg/nginx-push-stream-module

還蠻簡單用的,而且複雜性低,不用多加掛一個 socket server ,就交給 nginx 負責 pub 及 sub 的部份,架構算乾淨,自己的下一個玩具,就用他了

spdy with nginx

這是一個加強版的協定,一開始由 Google 提出 https://zh.wikipedia.org/wiki/SPDY

用 Apache 的朋友可以參考 https://code.google.com/p/mod-spdy/

以下筆記,是以 Debian 用 nginx 官方的 deb 套件由為底的紀錄

nginx 官方的套件 http://wiki.nginx.org/Install

Debian 用 wheezy, source.list 可以加


deb http://nginx.org/packages/debian/ wheezy nginx
deb-src http://nginx.org/packages/debian/ wheezy nginx



再來就是您的 nginx site 的設定了,下面是要加的部份,
也只有 listen 443 ssl spdy 那一行


server {
listen 443 ssl spdy;
#listen 443;

server_name yourcoolhostname;



}


最後可以開 chrome 瀏覽器檢查連到網站的有沒有 SPDY 的連結
在瀏覽器的網址列打 chrome://net-internals/#spdy 就可以看到了

或是可以用 http://spdycheck.org/ 來檢查


目前 nginx 的 spdy 模組,只支援 spdy/2

支持颱風假百業皆休

支持颱風假應該百業皆休,應該除了警消,醫務人員,都要休吧

在媒體上,你永遠,指會看到,不休的時候,新聞報人民抱怨怎麼不休,休的時候,報百貨公司,電影院人滿為患

媒體也不會去檢討,為什麼百貨公司,或是服務業的從業人員不需休颱風假,上下班都不會危險,他們只是喜歡挑弄是非

是非愈多,才有新聞報,如果服務業也都要休息,自然就不會有這種新聞了

很悲哀的事實

退伍前一周,被送禁閉室,有點常識的也知道是要弄死你

尤其帶手機,這一種理由,更可笑,要弄死你,什麼理由都可以

現在是什麼世道,做軍人的,謀殺罪,只要記個過,記個申誡就好

這是謀殺無誤

要你死,就得死,這就是軍中黑的地方

http://disp.cc/m/tread.php?id=163-66Ah


以下省略 5000 字,因為不想說髒話

ps: 當義務役的慣例,就是快退伍了,就把沒休的假,休完,和長官感情不錯的,或是
有遇到好人長官(也是有好人的,只是比例不高),也會多給你公假,出去洽公,或是給你
一些時間,找工作

要在身體上折磨你,意志上,堅定你的訓練,在最後一周,已經沒有意義

vim-airline

這一個 vim plugin 是看到 othree 的 Blog 介紹的

https://blog.othree.net/log/2013/07/04/vim-airline/

先前用 powerline 在 sshfs 上面編輯的時候,會慢到無法接受,就拔掉不用

筆記一下也許這一個簡單,夠輕量,不會有問題

https://github.com/bling/vim-airline

說實在的,powerline 上面的訊息,也是可以用 stausline 就可以了,不想花俏的一點的話

Debian jessie/testing GNOME 踩雷

Debian testing 用很久了,偶而還是要踩一下雷

最近官方,正在由 GNOME 3.4 要遷移的 3.8 ,算是桌面環境套件,比較大的更新
應該後續,還有有更多的更新出來

我幾乎每天都有更新套件,開發機切 classic 模式,才可以用

暫時的解法,請參考

http://blogs.fsfe.org/the_unconventional/2013/06/30/to-all-debian-jessietesting-users-do-not-upgrade-gnome-bluetooth-to-3-8-1-1-yet/