GoFrame 高级特性-CSRF防御设置

跨站请求伪造（英语：Cross-Site Request Forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

如何防御

这里我们选择通过token的方式对请求进行校验，通过中间件的方式实现，CSRF跨站点防御插件由社区包提供。

开发者可以通过对接口添加中间件的方式，增加token校验功能。

感兴趣的朋友可以阅读插件源码 https://github.com/gogf/csrf

使用方式

引入插件包

import "github.com/gogf/csrf"

配置接口中间件

csrf插件支持自定义csrf.Config配置，Config中的Cookie.Name是中间件设置到请求返回Cookie中token的名称，ExpireTime是token超时时间，TokenLength是token长度，TokenRequestKey是后续请求需求带上的参数名。

s := g.Server()
s.Group("/api.v2", func(group *ghttp.RouterGroup) {
	group.Middleware(csrf.NewWithCfg(csrf.Config{
		Cookie: &http.Cookie{
			Name: "_csrf",// token name in cookie
		},
		ExpireTime:      time.Hour * 24,
		TokenLength:     32,
		TokenRequestKey: "X-Token",// use this key to read token in request param
	}))
	group.ALL("/csrf", func(r *ghttp.Request) {
		r.Response.Writeln(r.Method + ": " + r.RequestURI)
	})
})

前端对接

通过配置后，前端在POST请求前从Cookie中读取_csrf的值（即token），然后请求发出时将token以X-Token（TokenRequestKey所设置）参数名置入请求中（可以是Header或者Form）即可通过token校验。

代码示例

使用默认配置

package main

import (
	"net/http"
	"time"

	"github.com/gogf/csrf"
	"github.com/gogf/gf/v2/frame/g"
	"github.com/gogf/gf/v2/net/ghttp"
)

// default cfg
func main() {
	s := g.Server()
	s.Group("/api.v2", func(group *ghttp.RouterGroup) {
		group.Middleware(csrf.New())
		group.ALL("/csrf", func(r *ghttp.Request) {
			r.Response.Writeln(r.Method + ": " + r.RequestURI)
		})
	})
	s.SetPort(8199)
	s.Run()
}

使用自定义配置

package main

import (
	"net/http"
	"time"

	"github.com/gogf/csrf"
	"github.com/gogf/gf/v2/frame/g"
	"github.com/gogf/gf/v2/net/ghttp"
)

// set cfg
func main() {
	s := g.Server()
	s.Group("/api.v2", func(group *ghttp.RouterGroup) {
		group.Middleware(csrf.NewWithCfg(csrf.Config{
			Cookie: &http.Cookie{
				Name: "_csrf",// token name in cookie
				Secure:   true,
				SameSite: http.SameSiteNoneMode,// 自定义samesite    
			},
			ExpireTime:      time.Hour * 24,
			TokenLength:     32,
			TokenRequestKey: "X-Token",// use this key to read token in request param
		}))
		group.ALL("/csrf", func(r *ghttp.Request) {
			r.Response.Writeln(r.Method + ": " + r.RequestURI)
		})
	})
	s.SetPort(8199)
	s.Run()
}

w3cschool 编程狮，随时随地学编程

GoFrame 高级特性-CSRF防御设置

如何防御

使用方式

引入插件包

配置接口中间件

前端对接

代码示例

使用默认配置

使用自定义配置

GoFrame 框架设计

GoFrame 框架设计-工程开发设计

GoFrame 工程开发设计-DAO对象封装设计

GoFrame 项目部署

GoFrame 开发工具

GoFrame 核心组件

GoFrame 核心组件-命令管理

GoFrame 核心组件-配置管理

GoFrame 核心组件-日志组件

GoFrame 核心组件-错误处理

GoFrame 错误处理-错误码特性

GoFrame 核心组件-数据校验

GoFrame 数据校验-参数类型

GoFrame 数据校验-Struct校验

GoFrame 数据校验-Map校验

GoFrame 数据校验-自定义规则

GoFrame 核心组件-类型转换

GoFrame 核心组件-缓存管理

GoFrame 核心组件-模板引擎

GoFrame 模板引擎-模板函数

GoFrame 核心组件-链路跟踪

GoFrame 链路跟踪-HTTP示例

GoFrame 核心组件-数据库ORM

GoFrame 数据库ORM-链式操作

GoFrame 链式操作-数据查询

GoFrame 链式操作-模型关联

GoFrame 数据库ORM-高级特性

GoFrame 数据库ORM-接口开发

GoFrame 核心组件-NoSQL Redis

GoFrame 核心组件-I18N国际化

GoFrame 核心组件-资源管理

GoFrame 模块列表

GoFrame 模块列表-数据结构

GoFrame 字典类型-gmap

GoFrame 数组类型-garray

GoFrame 集合类型-gset

GoFrame 链表类型-glist

GoFrame 泛型类型-gvar

GoFrame 安全类型-gtype

GoFrame 队列类型-gqueue

GoFrame 树形类型-gtree

GoFrame 对象复用-gpool

GoFrame 并发安全环-gring

GoFrame 模块列表-系统相关

GoFrame 定时器-gtimer

GoFrame 时间管理-gtime

GoFrame 定时任务-gcron

GoFrame 文件管理-gfile

GoFrame 进程管理-gproc

GoFrame 模块列表-文本处理

GoFrame 字符串处理-gstr

GoFrame 正则表达式-gregex

GoFrame 模块列表-编码解码

GoFrame 通用编解码-gjson

GoFrame 模块列表-实用工具

GoFrame 模块列表-单元测试

GoFrame 模块列表-功能调试

GoFrame WEB服务开发

GoFrame WEB服务开发-路由管理

GoFrame 路由管理-路由注册

GoFrame WEB服务开发-请求输入

GoFrame WEB服务开发-数据返回

GoFrame WEB服务开发-Session

GoFrame WEB服务开发-HTTPClient

GoFrame WEB服务开发-分页管理

GoFrame WEB服务开发-高级特性

GoFrame 网络服务开发

GoFrame 网络服务开发-TCP组件

GoFrame TCP组件-连接对象

GoFrame 网络服务开发-UDP组件