go 框架中的 csrf 防御機(jī)制包括:生成令牌、驗(yàn)證令牌和存儲(chǔ)令牌于瀏覽器或 cookie,從而防止攻擊者通過(guò)受害者瀏覽器向目標(biāo)網(wǎng)站發(fā)送驗(yàn)證請(qǐng)求。
Go 框架中的跨域請(qǐng)求偽造 (CSRF) 防御策略
什么是 CSRF?
跨域請(qǐng)求偽造 (CSRF) 是一種攻擊技術(shù),它能讓攻擊者通過(guò)受害者的瀏覽器向目標(biāo)網(wǎng)站發(fā)送經(jīng)過(guò)身份驗(yàn)證的請(qǐng)求,而受害者并不知情。
Go 框架中的 CSRF 防御
Go 框架 (如 Gin、Echo) 提供了內(nèi)置機(jī)制來(lái)防御 CSRF 攻擊。這些機(jī)制的工作原理是為每個(gè) HTTP 請(qǐng)求生成一個(gè)唯一的隨機(jī)令牌,并將其存儲(chǔ)在用戶(hù)的瀏覽器中或 HTTP 響應(yīng)的 Cookie 中。當(dāng)用戶(hù)向服務(wù)器發(fā)送 HTTP 請(qǐng)求時(shí),令牌將隨請(qǐng)求一起發(fā)送。服務(wù)器會(huì)驗(yàn)證令牌,只有令牌匹配時(shí)才會(huì)處理請(qǐng)求。
實(shí)戰(zhàn)案例
以下是一個(gè)使用 Gin 框架防止 CSRF 攻擊的示例:
// CSRF 中間件
func CSRFMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
// 從請(qǐng)求頭中獲取令牌
token := c.Request.Header.Get("X-CSRF-Token")
// 從會(huì)話(huà)中獲取令牌
sessionToken := c.MustGet("csrf_token").(string)
// 比較令牌
if token != sessionToken {
// 令牌不匹配,返回錯(cuò)誤
c.AbortWithStatus(http.StatusForbidden)
return
}
// 令牌匹配,繼續(xù)處理請(qǐng)求
c.Next()
}
}
func main() {
router := gin.Default()
// 添加 CSRF 中間件
router.Use(CSRFMiddleware())
// 設(shè)置 csrf_token 會(huì)話(huà)值
router.Use(func(c *gin.Context) {
c.Set("csrf_token", uuid.New().String())
c.Next()
})
router.GET("/", func(c *gin.Context) {
// 渲染主頁(yè)并傳遞 CSRF 令牌
c.HTML(http.StatusOK, "index.html", gin.H{"csrf_token": c.MustGet("csrf_token").(string)})
})
router.POST("/submit", func(c *gin.Context) {
// 驗(yàn)證令牌
if c.Request.Header.Get("X-CSRF-Token") != c.MustGet("csrf_token").(string) {
c.AbortWithStatus(http.StatusForbidden)
return
}
// 處理<a style='color:#f60; text-decoration:underline;' href="https://www.php.cn/zt/39720.html" target="_blank">表單提交</a>
c.JSON(http.StatusOK, gin.H{"success": true})
})
router.Run()
}
登錄后復(fù)制
其他防御策略
除了使用令牌外,還有其他方法可以防御 CSRF 攻擊:
使用 Referrer 策略限制請(qǐng)求的來(lái)源
發(fā)送額外的 HTTP 頭以確保請(qǐng)求來(lái)自合法來(lái)源
使用 Same-Origin Policy 來(lái)限制跨域請(qǐng)求
