首页 开发教程 GoFrame入门教程 GoFrame 高级特性-CSRF防御设置

"GoFrame入门教程"的目录

GoFrame 框架介绍
GoFrame 快速开始
GoFrame 框架设计-模块化设计
GoFrame 框架设计-统一框架设计
GoFrame 工程开发设计-代码分层设计
GoFrame 工程开发设计-工程目录设计
GoFrame 工程开发设计-对象封装设计
GoFrame 工程开发设计-结构化编程设计
GoFrame DAO对象封装设计-痛点及改进
GoFrame DAO对象封装设计-工程封装设计
GoFrame 工程开发设计-数据模型与业务模型
GoFrame 框架设计-全链路跟踪设计
GoFrame 框架设计-全错误堆栈设计
GoFrame 框架设计-接口化与泛型设计
GoFrame 框架设计-隐式与显式初始化
GoFrame 框架设计-Context 业务流程共享变量
GoFrame 项目部署-独立部署
GoFrame 项目部署-代理部署
GoFrame 项目部署-容器部署
GoFrame 开发工具-简介
GoFrame 开发工具-工具安装
GoFrame 开发工具-版本查看
GoFrame 开发工具-项目创建
GoFrame 开发工具-交叉编译
GoFrame 开发工具-代码生成
GoFrame 开发工具-数据规范
GoFrame 开发工具-自动编译
GoFrame 开发工具-资源打包
GoFrame 开发工具-镜像编译
GoFrame 核心组件-对象管理
GoFrame 核心组件-调试命令
GoFrame 命令管理-基本介绍
GoFrame 命令管理-基本概念
GoFrame 命令管理-基础方法
GoFrame 命令管理-Parser解析
GoFrame 命令管理-命令行对象
GoFrame 命令管理-结构化参数
GoFrame 命令管理-终端交互
GoFrame 配置管理-基本介绍
GoFrame 配置管理-配置对象
GoFrame 配置管理-文件配置
GoFrame 配置管理-常用方法
GoFrame 配置管理-接口化设计
GoFrame 配置管理-YAML格式
GoFrame 配置管理-TOML格式
GoFrame 日志组件-基本介绍
GoFrame 日志组件-配置管理
GoFrame 日志组件-日志级别
GoFrame 日志组件-文件目录
GoFrame 日志组件-链式操作
GoFrame 日志组件-颜色打印
GoFrame 日志组件-Context
GoFrame 日志组件-Handler
GoFrame 日志组件-JSON格式
GoFrame 日志组件-异步输出
GoFrame 日志组件-堆栈打印
GoFrame 日志组件-调试信息
GoFrame 日志组件-Writer接口
GoFrame 日志组件-Flags特性
GoFrame 日志组件-Rotate特性
GoFrame 日志组件-常见问题
GoFrame 错误处理-基本介绍
GoFrame 错误处理-常用方法
GoFrame 错误处理-堆栈特性
GoFrame 错误码特性-错误码使用
GoFrame 错误码特性-错误码接口
GoFrame 错误码特性-错误码扩展
GoFrame 错误码特性-错误码实现
GoFrame 错误码特性-内置错误码
GoFrame 错误处理-其他特性
GoFrame 错误处理-性能测试
GoFrame 数据校验-基本介绍
GoFrame 数据校验-校验规则
GoFrame 数据校验-校验对象
GoFrame 数据校验-校验结果
GoFrame 数据校验-单数据校验
GoFrame Struct校验-基本使用
GoFrame Struct校验-Assoc关联
GoFrame Map校验-基本使用
GoFrame Map校验-校验顺序性
GoFrame 数据校验-可选校验
GoFrame 数据校验-递归校验
GoFrame 自定义规则-规则注册
GoFrame 自定义规则-完整数据校验
GoFrame 数据校验-自定义错误
GoFrame 数据校验-方法介绍
GoFrame 数据校验-FAQ
GoFrame 类型转换-基本介绍
GoFrame 类型转换-基本类型
GoFrame 类型转换-Map转换
GoFrame 类型转换-Struct转换
GoFrame 类型转换-Structs转换
GoFrame 类型转换-Scan转换
GoFrame 类型转换-UnmarshalValue
GoFrame 类型转换-性能测试
GoFrame 缓存管理-基本介绍
GoFrame 缓存管理-接口化设计
GoFrame 缓存管理-内存缓存
GoFrame 缓存管理-Redis缓存
GoFrame 缓存管理-方法介绍
GoFrame 模板引擎-基本介绍
GoFrame 模板引擎-模板配置
GoFrame 模板引擎-模板标签
GoFrame 模板函数-基础函数
GoFrame 模板函数-内置函数
GoFrame 模板函数-自定义函数
GoFrame 模板引擎-模板变量
GoFrame 模板引擎-模板布局
GoFrame 模板引擎-XSS处理
GoFrame 模板引擎-其他使用
GoFrame 链路跟踪-背景知识
GoFrame 链路跟踪-准备工作
GoFrame 链路跟踪-基本示例
GoFrame HTTP示例-Baggage
GoFrame HTTP示例-数据操作
GoFrame 链路跟踪-GRPC示例
GoFrame 数据库ORM-基本介绍
GoFrame 数据库ORM-使用配置
GoFrame 链式操作-基本介绍
GoFrame 链式操作-模型创建
GoFrame 链式操作-写入保存
GoFrame 链式操作-更新删除
GoFrame 数据查询-Where/WhereOr/WhereNot
GoFrame 数据查询-All/One/Array/Value/Count
GoFrame 数据查询-Scan
GoFrame 数据查询-LeftJoin/RightJoin/InnerJoin
GoFrame 数据查询-Group/Order/Having
GoFrame 数据查询-Union/UnionAll
GoFrame 数据查询-子查询特性
GoFrame 数据查询-常用操作示例
GoFrame 模型关联-ScanList
GoFrame 模型关联-With特性
GoFrame 链式操作-对象输入
GoFrame 链式操作-字段过滤
GoFrame 链式操作-字段获取
GoFrame 链式操作-事务处理
GoFrame 链式操作-主从切换
GoFrame 链式操作-查询缓存
GoFrame 链式操作-时间维护
GoFrame 链式操作-数据库切换
GoFrame 链式操作-Handler特性
GoFrame 链式操作-悲观锁&乐观锁
GoFrame 数据库ORM-方法操作
GoFrame 数据库ORM-事务处理
GoFrame 数据库ORM-结果处理
GoFrame 数据库ORM-时区处理
GoFrame 高级特性-调试模式
GoFrame 高级特性-日志输出
GoFrame 高级特性-字段映射
GoFrame 高级特性-空跑特性
GoFrame 高级特性-类型识别
GoFrame 高级特性-类型转换
GoFrame 高级特性-内嵌结构支持
GoFrame 接口开发-基本介绍
GoFrame 接口开发-回调处理
GoFrame 接口开发-驱动开发
GoFrame 数据库ORM-上下文变量
GoFrame NoSQL Redis-基本介绍
GoFrame NoSQL Redis-配置管理
GoFrame NoSQL Redis-基本使用
GoFrame NoSQL Redis-Conn对象
GoFrame NoSQL Redis-结果处理
GoFrame NoSQL Redis-接口化设计
GoFrame I18N国际化-基本介绍
GoFrame I18N国际化-配置管理
GoFrame I18N国际化-使用介绍
GoFrame 资源管理-基本介绍
GoFrame 资源管理-工具打包
GoFrame 资源管理-方法打包
GoFrame 资源管理-方法介绍
GoFrame 资源管理-使用示例
GoFrame 资源管理-最佳实践
GoFrame gmap-基本介绍
GoFrame gmap-基本使用
GoFrame gmap-方法介绍
GoFrame garray-基本介绍
GoFrame garray-基本使用
GoFrame garray-方法介绍
GoFrame gset-基本介绍
GoFrame gset-基本使用
GoFrame gset-方法介绍
GoFrame glist-基本介绍
GoFrame glist-基本使用
GoFrame gvar-基本介绍
GoFrame gvar-基本使用
GoFrame gvar-方法介绍
GoFrame gtype-基本介绍
GoFrame gtype-基本使用
GoFrame gqueue-基本介绍
GoFrame gqueue-基本使用
GoFrame gtree-基本介绍
GoFrame gtree-基本使用
GoFrame gtree-方法介绍
GoFrame gpool-基本介绍
GoFrame gpool-基本使用
GoFrame gring-基本介绍
GoFrame gring-基本使用
GoFrame gring-方法介绍
GoFrame gtimer-基本介绍
GoFrame gtimer-基本使用
GoFrame 内存锁-gmlock
GoFrame 互斥锁-gmutex
GoFrame gtime-基本介绍
GoFrame gtime-时间格式
GoFrame gtime-时间对象
GoFrame gtime-工具方法
GoFrame gtime-方法介绍
GoFrame gcron-基本介绍
GoFrame gcron-表达式
GoFrame gcron-基本使用
GoFrame gcron-gcron与gtimer区别
GoFrame gfile-基本介绍
GoFrame gfile-内容管理
GoFrame gfile-内容替换
GoFrame gfile-文件时间
GoFrame gfile-文件大小
GoFrame gfile-文件排序
GoFrame gfile-文件检索
GoFrame gfile-目录扫描
GoFrame gfile-常用目录
GoFrame gfile-类型判断
GoFrame gfile-权限操作
GoFrame gfile-文件/目录操作
GoFrame gfile-路径操作
GoFrame 环境变量-genv
GoFrame 文件监控-gfsnotify
GoFrame gproc-基本介绍
GoFrame gproc-基本使用
GoFrame gproc-进程通信
GoFrame gproc-信号注册监听
GoFrame 协程管理-grpool
GoFrame 对象信息-gstructs
GoFrame gstr-基本介绍
GoFrame gstr-字符串判断
GoFrame gstr-字符串长度
GoFrame gstr-字符串创建
GoFrame gstr-大小写转换
GoFrame gstr-字符串比较
GoFrame gstr-切分组合
GoFrame gstr-转义处理
GoFrame gstr-统计计数
GoFrame gstr-数组处理
GoFrame gstr-命名转换
GoFrame gstr-包含判断
GoFrame gstr-字符串转换
GoFrame gstr-域名处理
GoFrame gstr-参数解析
GoFrame gstr-位置查找
GoFrame gstr-查找替换
GoFrame gstr-子串截取
GoFrame gstr-字符/子串过滤
GoFrame gstr-版本比较
GoFrame gstr-相似计算
GoFrame gregex-基本介绍
GoFrame gregex-基本使用
GoFrame gregex-方法介绍
GoFrame gjson-基本介绍
GoFrame gjson-对象创建
GoFrame gjson-层级访问
GoFrame gjson-Struct转换
GoFrame gjson-动态创建修改
GoFrame gjson-数据格式转换
GoFrame 二进制编解码-gbinary
GoFrame URL编解码-gurl
GoFrame 字符集转换-gcharset
GoFrame 随机数-grand
GoFrame 唯一数-guid
GoFrame 元数据-gmeta
GoFrame 工具方法-gutil
GoFrame 单元测试-gtest
GoFrame 功能调试-gdebug
GoFrame WEB服务开发-开始使用
GoFrame 路由管理-路由规则
GoFrame 路由注册-基本介绍
GoFrame 路由注册-函数注册
GoFrame 路由注册-对象注册
GoFrame 路由注册-分组路由
GoFrame 路由注册-规范路由
GoFrame 路由管理-中间件/拦截器
GoFrame WEB服务开发-接口文档
GoFrame 请求输入-基本介绍
GoFrame 请求输入-复杂参数
GoFrame 请求输入-对象处理
GoFrame 请求输入-请求校验
GoFrame 请求输入-JSON/XML
GoFrame 请求输入-默认值绑定
GoFrame 请求输入-自定义变量
GoFrame 请求输入-Context
GoFrame 数据返回-基本介绍
GoFrame 数据返回-缓冲控制
GoFrame 数据返回-JSON/XML
GoFrame 数据返回-Redirect
GoFrame 数据返回-Exit控制
GoFrame 数据返回-文件下载
GoFrame 数据返回-模板解析
GoFrame WEB服务开发-服务配置
GoFrame WEB服务开发-Cookie
GoFrame Session-基本介绍
GoFrame Session-File
GoFrame Session-Memory
GoFrame Session-Redis-KeyValue
GoFrame Session-Storage接口开发
GoFrame WEB服务开发-异常处理
GoFrame HTTPClient-基本介绍
GoFrame HTTPClient-链式操作
GoFrame HTTPClient-基本使用
GoFrame HTTPClient-文件上传
GoFrame HTTPClient-自定义Cookie
GoFrame HTTPClient-自定义Header
GoFrame HTTPClient-请求信息打印
GoFrame HTTPClient-代理Proxy设置
GoFrame HTTPClient-拦截器/中间件
GoFrame 分页管理-基本介绍
GoFrame 分页管理-动态分页
GoFrame 分页管理-静态分页
GoFrame 分页管理-Ajax分页
GoFrame 分页管理-URL模板
GoFrame 分页管理-自定义分页
GoFrame 高级特性-静态文件服务
GoFrame 高级特性-服务日志管理
GoFrame 高级特性-HTTPS & TLS
GoFrame 高级特性-平滑重启特性
GoFrame 高级特性-CORS跨域处理
GoFrame 高级特性-CSRF防御设置
GoFrame 高级特性-HOOK事件回调
GoFrame 高级特性-WebSocket服务
GoFrame 高级特性-自定义状态码处理
GoFrame 高级特性-PProf服务性能分析
GoFrame 高级特性-SameSite设置
GoFrame TCP组件-基本介绍
GoFrame 连接对象-基本介绍
GoFrame 连接对象-消息包处理
GoFrame 连接对象-通信开发进阶
GoFrame TCP组件-工具方法
GoFrame TCP组件-TLS加密
GoFrame TCP组件-连接池特性
GoFrame UDP组件-基本介绍
GoFrame UDP组件-连接对象
GoFrame UDP组件-工具方法

GoFrame入门教程 GoFrame 高级特性-CSRF防御设置

2024-02-25 开发教程 GoFrame入门教程 匿名 3

跨站请求伪造(英语:​Cross-Site Request Forgery​),也被称为 ​one-click attack​ 或者 ​session riding​,通常缩写为 ​CSRF ​或者 ​XSRF​, 是一种挟制用户在当前已登录的​Web​应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(​XSS​)相比,​XSS​利用的是用户对指定网站的信任,​CSRF ​利用的是网站对用户网页浏览器的信任。

如何防御

这里我们选择通过​token​的方式对请求进行校验,通过中间件的方式实现,​CSRF​跨站点防御插件由社区包提供。

开发者可以通过对接口添加中间件的方式,增加​token​校验功能。

感兴趣的朋友可以阅读插件源码 https://github.com/gogf/csrf

使用方式

引入插件包

import "github.com/gogf/csrf"

配置接口中间件

csrf​插件支持自定义​csrf.Config​配置,​Config​中的​Cookie.Name​是中间件设置到请求返回​Cookie​中​token​的名称,​ExpireTime​是​token​超时时间,​TokenLength​是​token​长度,​TokenRequestKey​是后续请求需求带上的参数名。

s := g.Server()
s.Group("/api.v2", func(group *ghttp.RouterGroup) {
	group.Middleware(csrf.NewWithCfg(csrf.Config{
		Cookie: &http.Cookie{
			Name: "_csrf",// token name in cookie
		},
		ExpireTime:      time.Hour * 24,
		TokenLength:     32,
		TokenRequestKey: "X-Token",// use this key to read token in request param
	}))
	group.ALL("/csrf", func(r *ghttp.Request) {
		r.Response.Writeln(r.Method + ": " + r.RequestURI)
	})
})

前端对接

通过配置后,前端在​POST​请求前从​Cookie​中读取​_csrf​的值(即​token​),然后请求发出时将​token​以​X-Token​(​TokenRequestKey​所设置)参数名置入请求中(可以是​Header​或者​Form​)即可通过​token​校验。

代码示例

使用默认配置

package main
import (
	"net/http"
	"time"
	"github.com/gogf/csrf"
	"github.com/gogf/gf/v2/frame/g"
	"github.com/gogf/gf/v2/net/ghttp"
)
// default cfg
func main() {
	s := g.Server()
	s.Group("/api.v2", func(group *ghttp.RouterGroup) {
		group.Middleware(csrf.New())
		group.ALL("/csrf", func(r *ghttp.Request) {
			r.Response.Writeln(r.Method + ": " + r.RequestURI)
		})
	})
	s.SetPort(8199)
	s.Run()
}

使用自定义配置

package main
import (
	"net/http"
	"time"
	"github.com/gogf/csrf"
	"github.com/gogf/gf/v2/frame/g"
	"github.com/gogf/gf/v2/net/ghttp"
)
// set cfg
func main() {
	s := g.Server()
	s.Group("/api.v2", func(group *ghttp.RouterGroup) {
		group.Middleware(csrf.NewWithCfg(csrf.Config{
			Cookie: &http.Cookie{
				Name: "_csrf",// token name in cookie
				Secure:   true,
				SameSite: http.SameSiteNoneMode,// 自定义samesite
			},
			ExpireTime:      time.Hour * 24,
			TokenLength:     32,
			TokenRequestKey: "X-Token",// use this key to read token in request param
		}))
		group.ALL("/csrf", func(r *ghttp.Request) {
			r.Response.Writeln(r.Method + ": " + r.RequestURI)
		})
	})
	s.SetPort(8199)
	s.Run()
}
上一节: GoFrame 高级特性-CORS跨域处理
下一节: GoFrame 高级特性-HOOK事件回调

备案信息: 粤ICP备15087711号-2

Copyright © 2008-2024 啊嘎哇在线工具箱 All Rights.

本站所有资料来源于网络,版权归原作者所有,仅作学习交流使用,如不慎侵犯了您的权利,请联系我们。