跨域请求攻击(CSRF)

中间件 csrf 用于为 Macaron 实例 生成和验证 CSRF 令牌。

下载安装

  1. go get github.com/go-macaron/csrf

使用示例

想要使用该中间件,您必须同时使用 session 中间件。

  1. package main
  2. import (
  3. "github.com/go-macaron/csrf"
  4. "github.com/go-macaron/session"
  5. "gopkg.in/macaron.v1"
  6. )
  7. func main() {
  8. m := macaron.Classic()
  9. m.Use(macaron.Renderer())
  10. m.Use(session.Sessioner())
  11. m.Use(csrf.Csrfer())
  12. // 模拟验证过程,判断 session 中是否存在 uid 数据。
  13. // 若不存在,则跳转到一个生成 CSRF 的页面。
  14. m.Get("/", func(ctx *macaron.Context, sess session.Store) {
  15. if sess.Get("uid") == nil {
  16. ctx.Redirect("/login")
  17. return
  18. }
  19. ctx.Redirect("/protected")
  20. })
  21. // 设置 session 中的 uid 数据。
  22. m.Get("/login", func(ctx *macaron.Context, sess session.Store) {
  23. sess.Set("uid", 123456)
  24. ctx.Redirect("/")
  25. })
  26. // 渲染一个需要验证的表单,并传递 CSRF 令牌到表单中。
  27. m.Get("/protected", func(ctx *macaron.Context, sess session.Store, x csrf.CSRF) {
  28. if sess.Get("uid") == nil {
  29. ctx.Redirect("/login", 401)
  30. return
  31. }
  32. ctx.Data["csrf_token"] = x.GetToken()
  33. ctx.HTML(200, "protected")
  34. })
  35. // 验证 CSRF 令牌。
  36. m.Post("/protected", csrf.Validate, func(ctx *macaron.Context, sess session.Store) {
  37. if sess.Get("uid") != nil {
  38. ctx.RenderData(200, []byte("You submitted a valid token"))
  39. return
  40. }
  41. ctx.Redirect("/login", 401)
  42. })
  43. m.Run()
  44. }
  1. <!-- templates/protected.tmpl -->
  2. <form action="/protected" method="post">
  3. <input type="hidden" name="_csrf" value="{{.csrf_token}}">
  4. <button>提交</button>
  5. </form>

自定义选项

该服务允许接受一个参数来进行自定义选项(csrf.Options):

  1. // ...
  2. m.Use(csrf.Csrfer(csrf.Options{
  3. // 用于生成令牌的全局秘钥,默认为随机字符串
  4. Secret: "mysecret",
  5. // 用于传递令牌的 HTTP 请求头信息字段,默认为 "X-CSRFToken"
  6. Header: "X-CSRFToken",
  7. // 用于传递令牌的表单字段名,默认为 "_csrf"
  8. Form: "_csrf",
  9. // 用于传递令牌的 Cookie 名称,默认为 "_csrf"
  10. Cookie: "_csrf",
  11. // Cookie 设置路径,默认为 "/"
  12. CookiePath: "/",
  13. // 用于保存用户 ID 的 session 名称,默认为 "uid"
  14. SessionKey: "uid",
  15. // 用于指定是否将令牌设置到响应的头信息中,默认为 false
  16. SetHeader: false,
  17. // 用于指定是否将令牌设置到响应的 Cookie 中,默认为 false
  18. SetCookie: false,
  19. // 用于指定是否要求只有使用 HTTPS 时才设置 Cookie,默认为 false
  20. Secure: false,
  21. // 用于禁止请求头信息中包括 Origin 字段,默认为 false
  22. Origin: false,
  23. // 错误处理函数,默认为简单的错误输出
  24. ErrorFunc: func(w http.ResponseWriter) {
  25. http.Error(w, "Invalid csrf token.", http.StatusBadRequest)
  26. },
  27. }))
  28. // ...