go 框架中的 csrf 防御機制包括:生成令牌、驗證令牌和存儲令牌于瀏覽器或 cookie,從而防止攻擊者通過受害者瀏覽器向目標網站發送驗證請求。
Go 框架中的跨域請求偽造 (CSRF) 防御策略
什么是 CSRF?
跨域請求偽造 (CSRF) 是一種攻擊技術,它能讓攻擊者通過受害者的瀏覽器向目標網站發送經過身份驗證的請求,而受害者并不知情。
Go 框架中的 CSRF 防御
Go 框架 (如 Gin、Echo) 提供了內置機制來防御 CSRF 攻擊。這些機制的工作原理是為每個 HTTP 請求生成一個唯一的隨機令牌,并將其存儲在用戶的瀏覽器中或 HTTP 響應的 Cookie 中。當用戶向服務器發送 HTTP 請求時,令牌將隨請求一起發送。服務器會驗證令牌,只有令牌匹配時才會處理請求。
實戰案例
以下是一個使用 Gin 框架防止 CSRF 攻擊的示例:
// CSRF 中間件
func CSRFMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
// 從請求頭中獲取令牌
token := c.Request.Header.Get("X-CSRF-Token")
// 從會話中獲取令牌
sessionToken := c.MustGet("csrf_token").(string)
// 比較令牌
if token != sessionToken {
// 令牌不匹配,返回錯誤
c.AbortWithStatus(http.StatusForbidden)
return
}
// 令牌匹配,繼續處理請求
c.Next()
}
}
func main() {
router := gin.Default()
// 添加 CSRF 中間件
router.Use(CSRFMiddleware())
// 設置 csrf_token 會話值
router.Use(func(c *gin.Context) {
c.Set("csrf_token", uuid.New().String())
c.Next()
})
router.GET("/", func(c *gin.Context) {
// 渲染主頁并傳遞 CSRF 令牌
c.HTML(http.StatusOK, "index.html", gin.H{"csrf_token": c.MustGet("csrf_token").(string)})
})
router.POST("/submit", func(c *gin.Context) {
// 驗證令牌
if c.Request.Header.Get("X-CSRF-Token") != c.MustGet("csrf_token").(string) {
c.AbortWithStatus(http.StatusForbidden)
return
}
// 處理<a style='color:#f60; text-decoration:underline;' href="https://www.php.cn/zt/39720.html" target="_blank">表單提交</a>
c.JSON(http.StatusOK, gin.H{"success": true})
})
router.Run()
}
登錄后復制
其他防御策略
除了使用令牌外,還有其他方法可以防御 CSRF 攻擊:
使用 Referrer 策略限制請求的來源
發送額外的 HTTP 頭以確保請求來自合法來源
使用 Same-Origin Policy 來限制跨域請求
