由于实际需求,需要将原来基于flask框架的web模块,使用gin框架重构,并且并加上CSRF防护。为此我做了一些调研,并最终利用gorilla/csrf 为基于gin框架的web模块添加csrf防护。
前期调研gin框架因为其速度快的特点被广泛使用,同时该框架功能也及其简单。gin不像beego提供了各种丰富的组件,因此需要使用者根据实际需要灵活组合。自然,gin也当然不会提供csrf功能。
在此之前,我调研了如下几种csrf中间件:
https://github.com/gorilla/csrf
https://github.com/utrack/gin-csrf
https://github.com/justinas/nosurf
以上组件,基本都是可以用在gin框架上的,但是考虑到可维护性,对代码的侵入性等原因,我们选择了gorilla/csrf。
下图是demo的目录目录结构。
在csrf.go中,实现了一个csrf中间件。
在前后端分离的项目中,一般将csrf_token放置在响应头中,我们可以另外实现一个自定义中间,为每个响应添加一个响应头。
并在路由中注册两个中间件:
最终的效果:
- 先发get请求,获取token
可以看到token已经在响应头中:
2. 在post请求头中,携带token和cookie(如果在测试工具中测试,务必带上cookie,因为是通过cookie中的sessionID,判断token的合法性的),下图中携带正确的token就会响应200,否则就会进入CSRF错误处理函数。
如果是含有html页面的项目,也可以通过在form表单中添加隐藏的方式传递token。
- 在get处理函数的响应数据中,添加模板函数csrf.TemplateTag: csrf.TemplateField(c.Request),
- 在页面中的form中引用
最终效果:
3. get请求进入提交页面,可以发现form中会有一个隐藏字段
4. 点击submit之后,就会返回成功状态
以上就是gorilla/csrf在gin框架中的使用方式,当然,也可能有其他的使用方式,这里仅仅提供参考,如果有问题,请私信或者评论。
另外,文字可能有些描述不清楚的地方,这里提供demo的gitee链接:https://gitee.com/zhaohaihang/gin-gorilla-csrf-demo
