Bagaimana golang melaksanakan fungsi mencegah serangan CSRF

CSRF (Pemalsuan permintaan merentas tapak) ialah teknologi serangan rangkaian di mana penyerang memalsukan permintaan pengguna untuk menipu pelayan. Bahasa Golang menyediakan beberapa perpustakaan alat dan rangka kerja yang boleh membantu kami melaksanakan fungsi untuk mencegah serangan CSRF.

1. Prinsip Asas CSRF

Serangan CSRF mengeksploitasi kelemahan aplikasi web Penyerang menipu pengguna untuk mengklik pautan atau memasuki tapak web penyerang melalui cara lain untuk membawa keluar aktiviti berniat jahat Pada masa ini, identiti pengguna telah disahkan oleh aplikasi log masuk Dengan cara ini, penyerang boleh memalsukan permintaan pengguna dan menyerahkan permintaan operasi jahat kepada pelayan.

Prinsip asas serangan CSRF ialah penyerang berniat jahat membina pautan atau menyerahkan borang untuk menipu pengguna supaya mengklik apabila pengguna mengklik pada pautan atau menyerahkan borang, penyerang boleh melakukan serangan CSRF . Pautan atau borang yang dibina oleh penyerang boleh mengandungi parameter dan nilai yang diperlukan oleh beberapa aplikasi tapak web yang terjejas.

2. Golang melaksanakan pertahanan CSRF

Rangka kerja web dan perpustakaan alat di Golang menyediakan beberapa kaedah untuk menghalang serangan CSRF Di sini kami mengambil rangka kerja Gin sebagai contoh untuk memperkenalkan cara untuk mencegah serangan CSRF Melaksanakan pertahanan CSRF di Golang.

Rangka kerja Gin ialah rangka kerja web ringan yang menyediakan banyak perisian tengah yang berguna, termasuk perisian tengah untuk mencegah serangan CSRF. Dalam Gin, kita boleh menggunakan pakej github.com/gin-contrib/csrf untuk melaksanakan pertahanan CSRF.

Berikut ialah contoh mudah yang menunjukkan cara menggunakan perisian tengah csrf dalam Gin untuk menghalang serangan CSRF.

package main

import (
    "github.com/gin-gonic/gin"
    "github.com/gin-contrib/csrf"
)

func main() {
    router := gin.Default()

    router.Use(csrf.New(csrf.Options{
        Secret: "123456",
    }))

    router.GET("/", func(c *gin.Context) {
        c.String(200, "Hello, World!")
    })

    router.Run(":8080")
}

Dalam contoh di atas, kami mula-mula mencipta perisian tengah CSRF melalui csrf.New(csrf.Options{}). Apabila mencipta middleware, kita perlu menetapkan kunci penyulitan, yang digunakan untuk menjana token CSRF. Dalam contoh, kami menetapkan kunci kepada "123456".

Kemudian, kami menggunakan router.Use() untuk menggunakan perisian tengah CSRF pada penghala Gin.

Seterusnya, kami mencipta fungsi pengendali laluan mudah di mana kami menghantar respons teks melalui c.String().

Akhir sekali, kami menggunakan router.Run() untuk memulakan pelayan web Gin dan mendengar pada port 8080.

Sekarang, kita boleh menjalankan kod di atas dan menghantar permintaan GET ke http://127.0.0.1:8080 melalui arahan curl.

$ curl http://127.0.0.1:8080
Hello, World!

Apabila kita melaksanakan perintah curl di atas, perisian tengah CSRF akan menjana token CSRF secara automatik dan menambahkannya pada pengepala respons. Dalam aplikasi praktikal, kami perlu menambahkan token ini pada borang halaman dan mengesahkannya apabila pengguna menyerahkan borang.

3. Ringkasan

Artikel ini memperkenalkan secara ringkas prinsip serangan CSRF dan cara menggunakan rangka kerja web dan perpustakaan alat di Golang untuk melaksanakan pertahanan CSRF. Dalam aplikasi praktikal, kami perlu membenamkan langkah pertahanan ke dalam program dan menyemak aplikasi secara kerap untuk memastikan bahawa langkah pertahanannya terhadap serangan CSRF adalah berkesan.

Atas ialah kandungan terperinci Bagaimana golang melaksanakan fungsi mencegah serangan CSRF. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!