csrf-shield 1.0.0

package/app.js

@@ -0,0 +1,74 @@
+const CryptoJS = require('crypto-js');
+
+module.exports = function(options = {}) {
+    const {
+        secret = CryptoJS.lib.WordArray.random(32).toString(),
+        timeout = 1000 * 60 * 10,
+    } = options;
+
+    function generateToken(ip, userAgent) {
+        const timestamp = Date.now();
+        const data = JSON.stringify({ ip, userAgent, timestamp });
+        return CryptoJS.AES.encrypt(data, secret).toString();
+    }
+
+    function parseToken(token) {
+        try {
+            const bytes = CryptoJS.AES.decrypt(token, secret);
+            const decryptedData = bytes.toString(CryptoJS.enc.Utf8);
+            return JSON.parse(decryptedData);
+        } catch (error) {
+            throw new Error('Invalid token');
+        }
+    }
+
+    function verifyToken(token, ip, userAgent) {
+        try {
+            const { ip: tokenIp, userAgent: tokenUserAgent, timestamp } = parseToken(token);
+            
+            if (tokenIp !== ip || tokenUserAgent !== userAgent) {
+                return { valid: false, reason: 'Token mismatch' };
+            }
+            
+            if (Date.now() - timestamp > timeout) {
+                return { valid: false, reason: 'Token expired' };
+            }
+            
+            return { valid: true };
+        } catch (error) {
+            return { valid: false, reason: error.message };
+        }
+    }
+
+    return {
+        middleware: function(req, res, next) {
+            req.csrfToken = function() {
+                const ip = req.headers['cf-connecting-ip'] || req.headers['x-forwarded-for'] || req.ip;
+                const userAgent = req.headers['user-agent'];
+                return generateToken(ip, userAgent);
+            };
+            next();
+        },
+        
+        verifyToken: function() {
+            return function(req, res, next) {
+                const token = req.body._csrf || req.query._csrf || req.headers['x-csrf-token'];
+                
+                if (!token) {
+                    return res.status(403).json({ status: false, message: 'CSRF token is missing' });
+                }
+
+                const ip = req.headers['cf-connecting-ip'] || req.headers['x-forwarded-for'] || req.ip;
+                const userAgent = req.headers['user-agent'];
+
+                const { valid, reason } = verifyToken(token, ip, userAgent);
+
+                if (!valid) {
+                    return res.status(403).json({ status: false, message: `Invalid CSRF token: ${reason}` });
+                }
+
+                next();
+            };
+        }
+    };
+};

package/package.json

@@ -0,0 +1,30 @@
+{
+  "name": "csrf-shield",
+  "version": "1.0.0",
+  "description": "CSRF protection middleware for Express.js applications.",
+  "main": "app.js",
+  "scripts": {
+    "test": "echo \"Error: no test specified\" && exit 1",
+    "start": "node app.js"
+  },
+  "keywords": [
+    "csrf",
+    "protection",
+    "middleware",
+    "express"
+  ],
+  "author": "Can",
+  "homepage": "https://github.com/fastuptime/csrf-shield#readme",
+  "repository": {
+    "type": "git",
+    "url": "git+https://github.com/fastuptime/csrf-shield",
+    "license": "MIT"
+  },
+  "license": "MIT",
+  "dependencies": {
+    "crypto-js": "^4.1.1"
+  },
+  "engines": {
+    "node": ">=16.0.0"
+  }
+}

package/readme.md

@@ -0,0 +1,137 @@
+# 🚀 `csrf-shield` - CSRF Protection Middleware
+
+`csrf-shield` is a middleware for protecting web applications from Cross-Site Request Forgery (CSRF) attacks. It integrates easily with Express.js and ensures that your forms and requests are secure.
+
+## 📦 Installation
+
+Install `csrf-shield` via npm or Yarn.
+
+### NPM
+
+```bash
+npm install csrf-shield
+```
+
+### Yarn
+
+```bash
+yarn add csrf-shield
+```
+
+## 🛠️ Usage
+
+### Basic Setup
+
+Here’s a step-by-step guide on how to set up `csrf-shield` in an Express.js application:
+
+1. **Create a basic Express.js application.**
+
+2. **Integrate `csrf-shield` middleware for CSRF protection.**
+
+3. **Use the CSRF token in your forms and validate it on the server side.**
+
+### Example Code
+
+Below is a complete example of how to use `csrf-shield` with an Express.js application:
+
+```javascript
+const express = require('express');
+const csrfProtection = require('csrf-shield')({
+    secret: 'your_secret_key', // Optional: Set a custom secret key for encryption
+    timeout: 1000 * 60 * 10, // Optional: Set token validity period (10 minutes)
+});
+const bodyParser = require('body-parser');
+
+const app = express();
+
+// Use body-parser middleware to parse form and JSON data
+app.use(bodyParser.urlencoded({ extended: false }));
+app.use(bodyParser.json());
+
+// Use CSRF protection middleware
+app.use(csrfProtection.middleware);
+
+app.get('/', (req, res) => {
+    res.send(`
+        <form method="post" action="/login">
+            <input type="text" name="username" />
+            <input type="password" name="password" />
+            <input type="hidden" name="_csrf" value="${req.csrfToken()}" />
+            <button type="submit">Login</button>
+        </form>
+    `);
+});
+
+app.post('/login', csrfProtection.verifyToken(), (req, res) => {
+    res.send('Logged in');
+});
+
+app.listen(3000, () => {
+    console.log('Server started on http://localhost:3000');
+});
+```
+
+### Key Points:
+
+- **`secret`**: (Optional) The secret key used for encrypting and decrypting CSRF tokens. It's recommended to set a custom, secure key. If not provided, a random key will be generated automatically.
+- **`timeout`**: (Optional) The validity period of tokens in milliseconds. Default is 10 minutes. Adjust this value according to your application's security needs.
+
+### Generating CSRF Tokens
+
+To generate CSRF tokens, use the following method:
+
+```javascript
+app.use((req, res, next) => {
+    req.csrfToken = () => {
+        const ip = req.headers['cf-connecting-ip'] || req.headers['x-forwarded-for'] || req.ip;
+        const userAgent = req.headers['user-agent'];
+        return csrfProtection.generateToken(ip, userAgent);
+    };
+    next();
+});
+```
+
+### Token Verification
+
+Use the `verifyToken` middleware to verify tokens in your routes:
+
+```javascript
+app.post('/login', csrfProtection.verifyToken(), (req, res) => {
+    res.send('Logged in');
+});
+```
+
+## 🔍 Features
+
+- **Automatic Token Generation**: Generates a CSRF token for each request.
+- **Token Verification**: Validates tokens in requests and checks their validity.
+- **Customizable**: Set your own secret key and token validity period.
+
+## ⚠️ Why Use This?
+
+CSRF attacks exploit the trust a web application has in the user's browser. `csrf-shield` helps prevent these attacks by ensuring that every request with sensitive actions is accompanied by a valid CSRF token.
+
+## 📄 API Reference
+
+### `csrfShield(options)`
+
+- **options.secret**: (Optional) The secret key used for encrypting tokens. A random key is used by default if not specified.
+- **options.timeout**: (Optional) The validity period of tokens in milliseconds. Default is 10 minutes.
+
+### `middleware(req, res, next)`
+
+- **req.csrfToken()**: Generates a new CSRF token to be used in forms.
+
+### `verifyToken()`
+
+- **req.body._csrf**: (Optional) Token location in form data.
+- **req.query._csrf**: (Optional) Token location in query parameters.
+- **req.headers['x-csrf-token']**: (Optional) Token location in HTTP headers.
+
+## 🛠️ Support & Contributing
+
+For issues or contributions, please visit the [GitHub repository](https://github.com/fastuptime/csrf-shield).
+
+## 📝 License
+
+This project is licensed under the [MIT License](LICENSE.md).

package/readmeTR.md

@@ -0,0 +1,137 @@
+# 🚀 `csrf-shield` - CSRF Koruma Middleware'i
+
+`csrf-shield`, web uygulamalarını Cross-Site Request Forgery (CSRF) saldırılarından koruyan bir middleware'dir. Express.js ile kolayca entegre edilir ve formlarınızın ve isteklerinizin güvenliğini sağlar.
+
+## 📦 Kurulum
+
+`csrf-shield` modülünü npm veya Yarn ile projenize ekleyebilirsiniz.
+
+### NPM
+
+```bash
+npm install csrf-shield
+```
+
+### Yarn
+
+```bash
+yarn add csrf-shield
+```
+
+## 🛠️ Kullanım
+
+### Temel Kurulum
+
+`csrf-shield`'i Express.js uygulamanıza nasıl entegre edeceğinizle ilgili adım adım bir kılavuz:
+
+1. **Temel bir Express.js uygulaması oluşturun.**
+
+2. **CSRF koruma middleware'ini entegre edin.**
+
+3. **Formlarınızda CSRF token'ını kullanın ve sunucu tarafında doğrulayın.**
+
+### Örnek Kod
+
+Aşağıda, `csrf-shield`'in Express.js uygulamanızda nasıl kullanılacağına dair tam bir örnek verilmiştir:
+
+```javascript
+const express = require('express');
+const csrfProtection = require('csrf-shield')({
+    secret: 'your_secret_key', // Opsiyonel: Şifreleme için özel bir gizli anahtar belirleyin
+    timeout: 1000 * 60 * 10, // Opsiyonel: Token geçerlilik süresi (10 dakika)
+});
+const bodyParser = require('body-parser');
+
+const app = express();
+
+// Form ve JSON verilerini işlemek için body-parser middleware'ini kullanın
+app.use(bodyParser.urlencoded({ extended: false }));
+app.use(bodyParser.json());
+
+// CSRF koruma middleware'ini uygulayın
+app.use(csrfProtection.middleware);
+
+app.get('/', (req, res) => {
+    res.send(`
+        <form method="post" action="/login">
+            <input type="text" name="username" />
+            <input type="password" name="password" />
+            <input type="hidden" name="_csrf" value="${req.csrfToken()}" />
+            <button type="submit">Login</button>
+        </form>
+    `);
+});
+
+app.post('/login', csrfProtection.verifyToken(), (req, res) => {
+    res.send('Giriş yapıldı');
+});
+
+app.listen(3000, () => {
+    console.log('Sunucu http://localhost:3000 adresinde çalışıyor');
+});
+```
+
+### Ana Noktalar:
+
+- **`secret`**: (Opsiyonel) CSRF token'larını şifrelemek için kullanılan gizli anahtar. Güvenli bir anahtar belirlemeniz önerilir. Belirtilmezse, varsayılan olarak rastgele bir anahtar oluşturulur.
+- **`timeout`**: (Opsiyonel) Token'ların geçerlilik süresi milisaniye cinsinden. Varsayılan olarak 10 dakikadır. Güvenlik ihtiyaçlarınıza göre bu değeri ayarlayabilirsiniz.
+
+### CSRF Token'ları Oluşturma
+
+CSRF token'larını oluşturmak için aşağıdaki yöntemi kullanabilirsiniz:
+
+```javascript
+app.use((req, res, next) => {
+    req.csrfToken = () => {
+        const ip = req.headers['cf-connecting-ip'] || req.headers['x-forwarded-for'] || req.ip;
+        const userAgent = req.headers['user-agent'];
+        return csrfProtection.generateToken(ip, userAgent);
+    };
+    next();
+});
+```
+
+### Token Doğrulama
+
+Token'ları doğrulamak için `verifyToken` middleware'ini kullanabilirsiniz:
+
+```javascript
+app.post('/login', csrfProtection.verifyToken(), (req, res) => {
+    res.send('Giriş yapıldı');
+});
+```
+
+## 🔍 Özellikler
+
+- **Otomatik Token Oluşturma**: Her istek için geçerli bir CSRF token oluşturur.
+- **Token Doğrulama**: İsteklerdeki token'ları doğrular ve geçerlilik süresini kontrol eder.
+- **Özelleştirilebilir**: Kendi gizli anahtarınızı ve token geçerlilik sürenizi ayarlayabilirsiniz.
+
+## ⚠️ Neden Kullanmalısınız?
+
+CSRF saldırıları, kötü niyetli kullanıcıların bir kullanıcının oturumunu kullanarak istenmeyen işlemler yapmasına olanak tanır. `csrf-shield`, bu tür saldırılara karşı güçlü bir koruma sağlar ve web uygulamanızın güvenliğini artırır.
+
+## 📄 API Referansı
+
+### `csrfShield(options)`
+
+- **options.secret**: (Opsiyonel) Token'ları şifrelemek için kullanılan gizli anahtar. Belirtilmezse, varsayılan olarak rastgele bir anahtar kullanılır.
+- **options.timeout**: (Opsiyonel) Token'ların geçerlilik süresi milisaniye cinsinden. Varsayılan olarak 10 dakikadır.
+
+### `middleware(req, res, next)`
+
+- **req.csrfToken()**: Yeni bir CSRF token'ı oluşturur.
+
+### `verifyToken()`
+
+- **req.body._csrf**: (Opsiyonel) Token'ın form verilerinde bulunduğu yer.
+- **req.query._csrf**: (Opsiyonel) Token'ın query parametrelerinde bulunduğu yer.
+- **req.headers['x-csrf-token']**: (Opsiyonel) Token'ın HTTP başlıklarında bulunduğu yer.
+
+## 🛠️ Destek & Katkı
+
+Herhangi bir sorunla karşılaşırsanız veya katkıda bulunmak isterseniz, lütfen [GitHub deposunu](https://github.com/fastuptime/csrf-shield) ziyaret edin.
+
+## 📝 Lisans
+
+Bu proje [MIT Lisansı](LICENSE) altında lisanslanmıştır.