CSRF · echo · 看云

## CSRF (跨域請求偽造) 中間件 CSRF (Cross-site request forgery) 跨域請求偽造，也被稱為 **one-click attack** 或者 **session riding**，通常縮寫為 **CSRF** 或者 **XSRF**，是一種挾制用戶在當前已登錄的Web應用程序上執行非本意的操作的攻擊方法。[[1\]](https://zh.wikipedia.org/wiki/跨站請求偽造#cite_note-Ristic-1) 跟[跨網站腳本](https://zh.wikipedia.org/wiki/跨網站指令碼) (XSS) 相比，**XSS** 利用的是用戶對指定網站的信任，CSRF 利用的是網站對用戶網頁瀏覽器的信任。 *用法* ```go e.Use(middleware.CSRF()) ``` ### 自定義配置 *用法* ```go e := echo.New() e.Use(middleware.CSRFWithConfig(middleware.CSRFConfig{ TokenLookup: "header:X-XSRF-TOKEN", })) ``` 上面的例子使用 `X-XSRF-TOKEN` 請求頭取出 CSRF 的 token 值。 ### 獲取 CSRF Token #### 服務器端服務器端可以使用 `ContextKey ` 從 `Echo#Context` 拿到 CSRF token 然后通過模版傳給客戶端。 #### 客戶端客戶端可以通過 CSRF cookie 拿到 token 值。 ### 配置 ```go // CSRFConfig defines the config for CSRF middleware. CSRFConfig struct { // Skipper defines a function to skip middleware. Skipper Skipper // TokenLength is the length of the generated token. TokenLength uint8 `json:"token_length"` // Optional. Default value 32. // TokenLookup is a string in the form of "<source>:<key>" that is used // to extract token from the request. // Optional. Default value "header:X-CSRF-Token". // Possible values: // - "header:<name>" // - "form:<name>" // - "query:<name>" TokenLookup string `json:"token_lookup"` // Context key to store generated CSRF token into context. // Optional. Default value "csrf". ContextKey string `json:"context_key"` // Name of the CSRF cookie. This cookie will store CSRF token. // Optional. Default value "csrf". CookieName string `json:"cookie_name"` // Domain of the CSRF cookie. // Optional. Default value none. CookieDomain string `json:"cookie_domain"` // Path of the CSRF cookie. // Optional. Default value none. CookiePath string `json:"cookie_path"` // Max age (in seconds) of the CSRF cookie. // Optional. Default value 86400 (24hr). CookieMaxAge int `json:"cookie_max_age"` // Indicates if CSRF cookie is secure. // Optional. Default value false. CookieSecure bool `json:"cookie_secure"` // Indicates if CSRF cookie is HTTP only. // Optional. Default value false. CookieHTTPOnly bool `json:"cookie_http_only"` } ``` *默認配置* ```go DefaultCSRFConfig = CSRFConfig{ Skipper: defaultSkipper, TokenLength: 32, TokenLookup: "header:" + echo.HeaderXCSRFToken, ContextKey: "csrf", CookieName: "_csrf", CookieMaxAge: 86400, } ```