在 go 框架中，csrf 攻击可通过 get 和 post 请求进行。防御措施包括：1. 验证 origin 头；2. 使用 csrf 令牌，服务器生成并存储在客户端 cookie 中，并验证令牌匹配；3. 使用同步器令牌模式，使用一次性令牌并在每个会话中比较。

Go 框架中常见的 CSRF 攻击和防御措施

跨站点请求伪造 (CSRF) 是一种网络攻击，其中攻击者可以利用受害者的身份执行未经授权的操作。在 Go 框架中，开发人员应采取措施来防止此类攻击。

CSRF 攻击类型

立即学习“go语言免费学习笔记（深入）”；

• GET 请求： 攻击者发送一个包含目标 URL 的链接，并诱骗受害者点击它。这将向服务器发出 GET 请求，攻击者希望受害者会执行操作（例如，修改个人资料）。
• POST 请求： 攻击者发送一个包含攻击代码的 HTML 表单，并诱骗受害者提交它。服务器会收到 POST 请求并执行攻击代码，从而授予攻击者对受害者帐户的访问权。

防御措施

1. 验证 Origin 头

Origin 头包含请求的来源，可以用来验证请求是否来自受信任的来源。在 Go 中，可以使用 net/http 包中的 Header 方法来获取请求的 Origin 头。

if request.Header.Get("Origin") != "trusted-origin.com" {
    http.Error(w, "Unauthorized", http.StatusUnauthorized)
    return
}

2. 使用 CSRF 令牌

CSRF 令牌是一个随机字符串，服务器会生成并存储在客户端的 cookie 中。在每次请求中，服务器都将验证令牌是否与 cookie 中的令牌匹配。如果不匹配，则请求将被阻止。

// 生成CSRF令牌
token := utils.GenerateCSRFToken()

// 存储令牌到cookie中
http.SetCookie(w, &http.Cookie{
    Name:  "csrfToken",
    Value: token,
})

// 验证CSRF令牌
if request.FormValue("csrfToken") != token {
    http.Error(w, "Invalid CSRF token", http.StatusUnauthorized)
    return
}

3. 使用同步器令牌模式

同步器令牌模式 (Synchronizer Token Pattern) 通过在每个会话中使用一次性令牌来防止 CSRF 攻击。令牌存储在 cookie 中，并在每个请求中与服务器端令牌进行比较。

// 生成同步器令牌
syncToken := utils.GenerateSyncToken()

// 数据库存储同步器令牌
util.SetSessionSyncToken(r, syncToken)

// 验证同步器令牌
if request.FormValue("syncToken") != util.GetSessionSyncToken(r) {
    http.Error(w, "Invalid sync token", http.StatusUnauthorized)
    return
}

// 移出同步器令牌
util.RemoveSessionSyncToken(r)

实战案例

考虑一个简单的 Web 应用程序，允许用户改变他们的个人资料。在没有 CSRF 防御措施的情况下，攻击者可以创建一个链接来修改用户的电子邮件地址，而无需用户采取任何行动。

<a href="http://example.com/user/update?email=attacker@example.com">点击这里修改你的电子邮件</a>

通过使用 CSRF 令牌，应用程序可以保护自己免受此类攻击。服务器会生成一个令牌并将其存储在用户的 cookie 中。然后，在用户点击链接并发送更改请求时，服务器会验证令牌。如果不匹配，则请求将被阻止，电子邮件地址将保持不变。