Go
话题列表 社区 Wiki 优质外文 招聘求职 Go 实战教程 社区文档
登录
注册
golang http of eudore
展开或关闭
第一章. Home
1.1. Home
第二章. http
2.1. http协议
2.2. https协议
2.3. http2协议
2.4. websocket协议
2.5. cookie
2.6. cors
2.7. csrf
2.8. post提交数据
2.9. server实现部分细节
2.10. 安全相关
2.11. header总结
2.12. 数据存储
第三章. nethttp
3.1. Request对象
3.2. Server对象
3.3. Server源码流程
3.4. Server对象
3.5. websocket协议
第四章. frame
4.1. 基于net/http框架设计思路
4.2. 基于net/http框架个部分总结
4.3. golf框架
4.4. echo框架
第五章. eudore
5.1. Eudore
5.2. Eudore App
5.3. Eudore Config
5.4. Eudore Logger
5.5. Eudore Server
5.6. Eudore路由器
5.7. Eudore 路由核心Radix
5.8. Eudore请求上下文
5.9. Eudore请求处理方法
5.10. Eudore控制器
5.11. Eudore特性演示
第六章. golang
6.1. 基础命令行
6.2. godoc
6.3. 反射
6.4. 系统信号
6.5. 类型转换
第七章. Example App
7.1. New
7.2. 后台启动
7.3. 启动命令解析
7.4. 监听代码自动编译重启
7.5. 静态文件
7.6. 全局请求中间件
7.7. 自定义app
第八章. Example Config
8.1. 解析命令行参数
8.2. 解析环境变量
8.3. Eudore配置
8.4. map配置
8.5. map差异化配置
8.6. eudore差异化配置
8.7. eudore差异化配置
8.8. 配置解析选项
8.9. 读取文件配置
8.10. 读取http远程配置
第九章. Example Logger
9.1. 初始化日志
9.2. LoggerStd
9.3. 日志切割
9.4. 日志清理
9.5. 写入Elastic
第十章. Example Server
10.1. 使用https
10.2. 服务监听
10.3. 双向https
10.4. eudore server启动服务
10.5. fastcgi启动服务
第十一章. Example Router
11.1. 组路由
11.2. 组路由和中间件
11.3. 路由参数
11.4. Any方法注册
11.5. Std路由器
11.6. Host路由器
11.7. 路由器注册调试
11.8. 路由器注册移除
11.9. radix树
第十二章. Example Context
12.1. Request Info
12.2. Response Write
12.3. 请求上下文日志
12.4. Bind Body
12.5. Bind Form
12.6. Bind Url
12.7. Bind Header
12.8. Bind并校验结构体数据
12.9. Query
12.10. Header
12.11. Cookie
12.12. Params
12.13. Form
12.14. Redirect
12.15. Push
12.16. Render
12.17. Params
12.18. Form
12.19. Push
12.20. Send Json
12.21. Send Template
第十三章. Example Context处理扩展
13.1. 默认处理
13.2. 处理ContextData扩展
13.3. 处理自定义函数类型
13.4. 处理自定义请求上下文
13.5. 新增函数处理扩展
13.6. 路径匹配扩展
13.7. 分级匹配扩展
13.8. Rpc式请求
提交改进
本书未发布

2.7. csrf

golang http of eudore /

未匹配的标注

CSRF

跨站请求伪造(Cross-site request forgery)

挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

实现

1、用户在A站登陆,浏览器记录Cookie等信息。

2、用户在B站触发了一个A站的请求,请求发送时附带了A站Cookie,访问控制通过,成功请求未知请求。

防范

CSRF两点必要情况,跨域和使用Cookie。

两者缺一不可,可以通过这两点来防范。

同源检测

http request header中,可以使用Origin Header和Referer Header来知道发送请求的来源。

在服务端检查请求来源页面,将非法来源的请求直接拒绝,但是对外链这样的无法处理。

http请求发送Referer Header,websocket建立连接请求发送Origin Header。

https默认不发送Referer Header,需要在html head中添加meta标签来发送Referer,如下meta。

<meta name="referrer" content="always">

但在某些情况下可以隐藏或者丢失Referer,并不可靠

CSRF Token

利用第三方网站无法跨越读取cookie。

在请求中添加csrdid,cookie中也有csrfid,在服务端检查csrdid是否一致。

双重Cookie验证

类似CSRFToken,会将一个cookie值将到请求中。

SameSite

SameSite是跨域cookie发送规则。

在set-cookie时,添加SameSite=Strict,静止跨域发送cookie。

反馈和交流请加群组:QQ群373278915

本文章首发在 LearnKu.com 网站上。

上一篇 下一篇
1112
432 声望
精通go http领域除h2调度和h3以外内容.
讨论数量: 0
发起讨论 只看当前版本


暂无话题~

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消