/goframe/
GoFrame 高级特性-CSRF防御设置
  1. GoFrame 框架设计
    1. GoFrame 框架设计-模块化设计
    2. GoFrame 框架设计-统一框架设计
    3. GoFrame 框架设计-工程开发设计
      1. GoFrame 工程开发设计-代码分层设计
      2. GoFrame 工程开发设计-工程目录设计
      3. GoFrame 工程开发设计-对象封装设计
      4. GoFrame 工程开发设计-结构化编程设计
      5. GoFrame 工程开发设计-DAO对象封装设计
      6. GoFrame 工程开发设计-数据模型与业务模型
    4. GoFrame 框架设计-全链路跟踪设计
    5. GoFrame 框架设计-全错误堆栈设计
    6. GoFrame 框架设计-接口化与泛型设计
    7. GoFrame 框架设计-隐式与显式初始化
    8. GoFrame 框架设计-Context 业务流程共享变量
  2. GoFrame 项目部署
    1. GoFrame 项目部署-独立部署
    2. GoFrame 项目部署-代理部署
    3. GoFrame 项目部署-容器部署
  3. GoFrame 开发工具
    1. GoFrame 开发工具-简介
    2. GoFrame 开发工具-工具安装
    3. GoFrame 开发工具-版本查看
    4. GoFrame 开发工具-项目创建
    5. GoFrame 开发工具-交叉编译
    6. GoFrame 开发工具-代码生成
    7. GoFrame 开发工具-数据规范
    8. GoFrame 开发工具-自动编译
    9. GoFrame 开发工具-资源打包
    10. GoFrame 开发工具-镜像编译
  4. GoFrame 核心组件
    1. GoFrame 核心组件-对象管理
    2. GoFrame 核心组件-调试命令
    3. GoFrame 核心组件-命令管理
      1. GoFrame 命令管理-基本介绍
      2. GoFrame 命令管理-基本概念
      3. GoFrame 命令管理-基础方法
      4. GoFrame 命令管理-Parser解析
      5. GoFrame 命令管理-命令行对象
      6. GoFrame 命令管理-结构化参数
      7. GoFrame 命令管理-终端交互
    4. GoFrame 核心组件-配置管理
      1. GoFrame 配置管理-基本介绍
      2. GoFrame 配置管理-配置对象
      3. GoFrame 配置管理-文件配置
      4. GoFrame 配置管理-常用方法
      5. GoFrame 配置管理-接口化设计
      6. GoFrame 配置管理-YAML格式
      7. GoFrame 配置管理-TOML格式
    5. GoFrame 核心组件-日志组件
      1. GoFrame 日志组件-基本介绍
      2. GoFrame 日志组件-配置管理
      3. GoFrame 日志组件-日志级别
      4. GoFrame 日志组件-文件目录
      5. GoFrame 日志组件-链式操作
      6. GoFrame 日志组件-颜色打印
      7. GoFrame 日志组件-Context
      8. GoFrame 日志组件-Handler
      9. GoFrame 日志组件-JSON格式
      10. GoFrame 日志组件-异步输出
      11. GoFrame 日志组件-堆栈打印
      12. GoFrame 日志组件-调试信息
      13. GoFrame 日志组件-Writer接口
      14. GoFrame 日志组件-Flags特性
      15. GoFrame 日志组件-Rotate特性
      16. GoFrame 日志组件-常见问题
    6. GoFrame 核心组件-错误处理
      1. GoFrame 错误处理-基本介绍
      2. GoFrame 错误处理-常用方法
      3. GoFrame 错误处理-堆栈特性
      4. GoFrame 错误处理-错误码特性
      5. GoFrame 错误处理-其他特性
      6. GoFrame 错误处理-性能测试
    7. GoFrame 核心组件-数据校验
      1. GoFrame 数据校验-基本介绍
      2. GoFrame 数据校验-校验规则
      3. GoFrame 数据校验-校验对象
      4. GoFrame 数据校验-校验结果
      5. GoFrame 数据校验-参数类型
      6. GoFrame 数据校验-可选校验
      7. GoFrame 数据校验-递归校验
      8. GoFrame 数据校验-自定义规则
      9. GoFrame 数据校验-自定义错误
      10. GoFrame 数据校验-方法介绍
      11. GoFrame 数据校验-FAQ
    8. GoFrame 核心组件-类型转换
      1. GoFrame 类型转换-基本介绍
      2. GoFrame 类型转换-基本类型
      3. GoFrame 类型转换-Map转换
      4. GoFrame 类型转换-Struct转换
      5. GoFrame 类型转换-Structs转换
      6. GoFrame 类型转换-Scan转换
      7. GoFrame 类型转换-UnmarshalValue
      8. GoFrame 类型转换-性能测试
    9. GoFrame 核心组件-缓存管理
      1. GoFrame 缓存管理-基本介绍
      2. GoFrame 缓存管理-接口化设计
      3. GoFrame 缓存管理-内存缓存
      4. GoFrame 缓存管理-Redis缓存
      5. GoFrame 缓存管理-方法介绍
    10. GoFrame 核心组件-模板引擎
      1. GoFrame 模板引擎-基本介绍
      2. GoFrame 模板引擎-模板配置
      3. GoFrame 模板引擎-模板标签
      4. GoFrame 模板引擎-模板函数
      5. GoFrame 模板引擎-模板变量
      6. GoFrame 模板引擎-模板布局
      7. GoFrame 模板引擎-XSS处理
      8. GoFrame 模板引擎-其他使用
    11. GoFrame 核心组件-链路跟踪
      1. GoFrame 链路跟踪-背景知识
      2. GoFrame 链路跟踪-准备工作
      3. GoFrame 链路跟踪-基本示例
      4. GoFrame 链路跟踪-HTTP示例
      5. GoFrame 链路跟踪-GRPC示例
    12. GoFrame 核心组件-数据库ORM
      1. GoFrame 数据库ORM-基本介绍
      2. GoFrame 数据库ORM-使用配置
      3. GoFrame 数据库ORM-链式操作
      4. GoFrame 数据库ORM-方法操作
      5. GoFrame 数据库ORM-事务处理
      6. GoFrame 数据库ORM-事务处理
      7. GoFrame 数据库ORM-事务处理
      8. GoFrame 数据库ORM-结果处理
      9. GoFrame 数据库ORM-时区处理
      10. GoFrame 数据库ORM-高级特性
      11. GoFrame 数据库ORM-接口开发
      12. GoFrame 数据库ORM-上下文变量
    13. GoFrame 核心组件-NoSQL Redis
      1. GoFrame NoSQL Redis-基本介绍
      2. GoFrame NoSQL Redis-配置管理
      3. GoFrame NoSQL Redis-基本使用
      4. GoFrame NoSQL Redis-Conn对象
      5. GoFrame NoSQL Redis-结果处理
      6. GoFrame NoSQL Redis-接口化设计
    14. GoFrame 核心组件-I18N国际化
      1. GoFrame I18N国际化-基本介绍
      2. GoFrame I18N国际化-配置管理
      3. GoFrame I18N国际化-使用介绍
    15. GoFrame 核心组件-资源管理
      1. GoFrame 资源管理-基本介绍
      2. GoFrame 资源管理-工具打包
      3. GoFrame 资源管理-方法打包
      4. GoFrame 资源管理-方法介绍
      5. GoFrame 资源管理-使用示例
      6. GoFrame 资源管理-最佳实践
  5. GoFrame 模块列表
    1. GoFrame 模块列表-数据结构
      1. GoFrame 字典类型-gmap
      2. GoFrame 数组类型-garray
      3. GoFrame 集合类型-gset
      4. GoFrame 链表类型-glist
      5. GoFrame 泛型类型-gvar
      6. GoFrame 安全类型-gtype
      7. GoFrame 队列类型-gqueue
      8. GoFrame 树形类型-gtree
      9. GoFrame 对象复用-gpool
      10. GoFrame 并发安全环-gring
    2. GoFrame 模块列表-系统相关
      1. GoFrame 定时器-gtimer
      2. GoFrame 内存锁-gmlock
      3. GoFrame 互斥锁-gmutex
      4. GoFrame 时间管理-gtime
      5. GoFrame 定时任务-gcron
      6. GoFrame 文件管理-gfile
      7. GoFrame 环境变量-genv
      8. GoFrame 文件监控-gfsnotify
      9. GoFrame 进程管理-gproc
      10. GoFrame 协程管理-grpool
      11. GoFrame 对象信息-gstructs
    3. GoFrame 模块列表-文本处理
      1. GoFrame 字符串处理-gstr
      2. GoFrame 正则表达式-gregex
    4. GoFrame 模块列表-编码解码
      1. GoFrame 通用编解码-gjson
      2. GoFrame 二进制编解码-gbinary
      3. GoFrame URL编解码-gurl
      4. GoFrame 字符集转换-gcharset
    5. GoFrame 模块列表-实用工具
      1. GoFrame 随机数-grand
      2. GoFrame 唯一数-guid
      3. GoFrame 元数据-gmeta
      4. GoFrame 工具方法-gutil
    6. GoFrame 模块列表-单元测试
      1. GoFrame 单元测试-gtest
    7. GoFrame 模块列表-功能调试
      1. GoFrame 功能调试-gdebug
  6. GoFrame WEB服务开发
    1. GoFrame WEB服务开发-开始使用
    2. GoFrame WEB服务开发-路由管理
      1. GoFrame 路由管理-路由规则
      2. GoFrame 路由管理-路由注册
      3. GoFrame 路由管理-中间件/拦截器
    3. GoFrame WEB服务开发-接口文档
    4. GoFrame WEB服务开发-请求输入
      1. GoFrame 请求输入-基本介绍
      2. GoFrame 请求输入-复杂参数
      3. GoFrame 请求输入-对象处理
      4. GoFrame 请求输入-请求校验
      5. GoFrame 请求输入-JSON/XML
      6. GoFrame 请求输入-默认值绑定
      7. GoFrame 请求输入-自定义变量
      8. GoFrame 请求输入-Context
    5. GoFrame WEB服务开发-数据返回
      1. GoFrame 数据返回-基本介绍
      2. GoFrame 数据返回-缓冲控制
      3. GoFrame 数据返回-JSON/XML
      4. GoFrame 数据返回-Redirect
      5. GoFrame 数据返回-Exit控制
      6. GoFrame 数据返回-文件下载
      7. GoFrame 数据返回-模板解析
    6. GoFrame WEB服务开发-服务配置
    7. GoFrame WEB服务开发-Cookie
    8. GoFrame WEB服务开发-Session
      1. GoFrame Session-基本介绍
      2. GoFrame Session-File
      3. GoFrame Session-Memory
      4. GoFrame Session-Redis-KeyValue
      5. GoFrame Session-Storage接口开发
    9. GoFrame WEB服务开发-异常处理
    10. GoFrame WEB服务开发-HTTPClient
      1. GoFrame HTTPClient-基本介绍
      2. GoFrame HTTPClient-链式操作
      3. GoFrame HTTPClient-基本使用
      4. GoFrame HTTPClient-文件上传
      5. GoFrame HTTPClient-自定义Cookie
      6. GoFrame HTTPClient-自定义Header
      7. GoFrame HTTPClient-请求信息打印
      8. GoFrame HTTPClient-代理Proxy设置
      9. GoFrame HTTPClient-拦截器/中间件
    11. GoFrame WEB服务开发-分页管理
      1. GoFrame 分页管理-基本介绍
      2. GoFrame 分页管理-动态分页
      3. GoFrame 分页管理-静态分页
      4. GoFrame 分页管理-Ajax分页
      5. GoFrame 分页管理-URL模板
      6. GoFrame 分页管理-自定义分页
    12. GoFrame WEB服务开发-高级特性
      1. GoFrame 高级特性-静态文件服务
      2. GoFrame 高级特性-服务日志管理
      3. GoFrame 高级特性-HTTPS & TLS
      4. GoFrame 高级特性-平滑重启特性
      5. GoFrame 高级特性-CORS跨域处理
      6. GoFrame 高级特性-CSRF防御设置
      7. GoFrame 高级特性-HOOK事件回调
      8. GoFrame 高级特性-WebSocket服务
      9. GoFrame 高级特性-自定义状态码处理
      10. GoFrame 高级特性-PProf服务性能分析
      11. GoFrame 高级特性-SameSite设置
  7. GoFrame 网络服务开发
    1. GoFrame 网络服务开发-TCP组件
      1. GoFrame TCP组件-基本介绍
      2. GoFrame TCP组件-连接对象
      3. GoFrame TCP组件-工具方法
      4. GoFrame TCP组件-TLS加密
      5. GoFrame TCP组件-连接池特性
    2. GoFrame 网络服务开发-UDP组件
      1. GoFrame UDP组件-基本介绍
      2. GoFrame UDP组件-连接对象
      3. GoFrame UDP组件-工具方法
阅读(3582) (14)

GoFrame 高级特性-CSRF防御设置

2022-04-12 11:32:57 更新

跨站请求伪造(英语:​Cross-Site Request Forgery​),也被称为 ​one-click attack​ 或者 ​session riding​,通常缩写为 ​CSRF ​或者 ​XSRF​, 是一种挟制用户在当前已登录的​Web​应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(​XSS​)相比,​XSS​利用的是用户对指定网站的信任,​CSRF ​利用的是网站对用户网页浏览器的信任。

如何防御

这里我们选择通过​token​的方式对请求进行校验,通过中间件的方式实现,​CSRF​跨站点防御插件由社区包提供。

开发者可以通过对接口添加中间件的方式,增加​token​校验功能。

感兴趣的朋友可以阅读插件源码 https://github.com/gogf/csrf

使用方式

引入插件包

import "github.com/gogf/csrf"

配置接口中间件

csrf​插件支持自定义​csrf.Config​配置,​Config​中的​Cookie.Name​是中间件设置到请求返回​Cookie​中​token​的名称,​ExpireTime​是​token​超时时间,​TokenLength​是​token​长度,​TokenRequestKey​是后续请求需求带上的参数名。

s := g.Server()
s.Group("/api.v2", func(group *ghttp.RouterGroup) {
	group.Middleware(csrf.NewWithCfg(csrf.Config{
		Cookie: &http.Cookie{
			Name: "_csrf",// token name in cookie
		},
		ExpireTime:      time.Hour * 24,
		TokenLength:     32,
		TokenRequestKey: "X-Token",// use this key to read token in request param
	}))
	group.ALL("/csrf", func(r *ghttp.Request) {
		r.Response.Writeln(r.Method + ": " + r.RequestURI)
	})
})

前端对接

通过配置后,前端在​POST​请求前从​Cookie​中读取​_csrf​的值(即​token​),然后请求发出时将​token​以​X-Token​(​TokenRequestKey​所设置)参数名置入请求中(可以是​Header​或者​Form​)即可通过​token​校验。

代码示例

使用默认配置

package main

import (
	"net/http"
	"time"

	"github.com/gogf/csrf"
	"github.com/gogf/gf/v2/frame/g"
	"github.com/gogf/gf/v2/net/ghttp"
)

// default cfg
func main() {
	s := g.Server()
	s.Group("/api.v2", func(group *ghttp.RouterGroup) {
		group.Middleware(csrf.New())
		group.ALL("/csrf", func(r *ghttp.Request) {
			r.Response.Writeln(r.Method + ": " + r.RequestURI)
		})
	})
	s.SetPort(8199)
	s.Run()
}

使用自定义配置

package main

import (
	"net/http"
	"time"

	"github.com/gogf/csrf"
	"github.com/gogf/gf/v2/frame/g"
	"github.com/gogf/gf/v2/net/ghttp"
)

// set cfg
func main() {
	s := g.Server()
	s.Group("/api.v2", func(group *ghttp.RouterGroup) {
		group.Middleware(csrf.NewWithCfg(csrf.Config{
			Cookie: &http.Cookie{
				Name: "_csrf",// token name in cookie
				Secure:   true,
				SameSite: http.SameSiteNoneMode,// 自定义samesite    
			},
			ExpireTime:      time.Hour * 24,
			TokenLength:     32,
			TokenRequestKey: "X-Token",// use this key to read token in request param
		}))
		group.ALL("/csrf", func(r *ghttp.Request) {
			r.Response.Writeln(r.Method + ": " + r.RequestURI)
		})
	})
	s.SetPort(8199)
	s.Run()
}


GoFrame 高级特性-CORS跨域处理
GoFrame 高级特性-HOOK事件回调

推荐文章

推荐教程

最新教程