背景

由于实际需求,需要将原来基于flask框架的web模块,使用gin框架重构,并且并加上CSRF防护。为此我做了一些调研,并最终利用gorilla/csrf 为基于gin框架的web模块添加csrf防护。

前期调研

gin框架因为其速度快的特点被广泛使用,同时该框架功能也及其简单。gin不像beego提供了各种丰富的组件,因此需要使用者根据实际需要灵活组合。自然,gin也当然不会提供csrf功能。

在此之前,我调研了如下几种csrf中间件:
https://github.com/gorilla/csrf
https://github.com/utrack/gin-csrf
https://github.com/justinas/nosurf
以上组件,基本都是可以用在gin框架上的,但是考虑到可维护性,对代码的侵入性等原因,我们选择了gorilla/csrf。

搭建demo

下图是demo的目录目录结构。
demo的目录结构
在csrf.go中,实现了一个csrf中间件。在这里插入图片描述

在响应头中传递token

在前后端分离的项目中,一般将csrf_token放置在响应头中,我们可以另外实现一个自定义中间,为每个响应添加一个响应头。
在这里插入图片描述
并在路由中注册两个中间件:
在这里插入图片描述
最终的效果:

  1. 先发get请求,获取token

在这里插入图片描述

可以看到token已经在响应头中:
在这里插入图片描述
2. 在post请求头中,携带token和cookie(如果在测试工具中测试,务必带上cookie,因为是通过cookie中的sessionID,判断token的合法性的),下图中携带正确的token就会响应200,否则就会进入CSRF错误处理函数。
在这里插入图片描述
在这里插入图片描述

在html页面中的form传递token

如果是含有html页面的项目,也可以通过在form表单中添加隐藏的方式传递token。

  1. 在get处理函数的响应数据中,添加模板函数csrf.TemplateTag: csrf.TemplateField(c.Request),
    在这里插入图片描述
  2. 在页面中的form中引用
    在这里插入图片描述

最终效果:
3. get请求进入提交页面,可以发现form中会有一个隐藏字段

在这里插入图片描述
4. 点击submit之后,就会返回成功状态
在这里插入图片描述

以上就是gorilla/csrf在gin框架中的使用方式,当然,也可能有其他的使用方式,这里仅仅提供参考,如果有问题,请私信或者评论。
另外,文字可能有些描述不清楚的地方,这里提供demo的gitee链接:https://gitee.com/zhaohaihang/gin-gorilla-csrf-demo

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐