xsrf

beego如何做到XSRF防护

China☆狼群 提交于 2019-12-03 23:54:38
跨站请求伪造(Cross-site request forgery) , 简称为 XSRF,是 Web 应用中常见的一个安全问题。前面的链接也详细讲述了 XSRF 攻击的实现方式。 当前防范 XSRF 的一种通用的方法,是对每一个用户都记录一个无法预知的 cookie 数据,然后要求所有提交的请求(POST/PUT/DELETE)中都必须带有这个 cookie 数据。如果此数据不匹配 ,那么这个请求就可能是被伪造的。 Beego 有内建的 XSRF 的防范机制,要使用此机制,你需要在应用配置文件中加上 enablexsrf 设定: enablexsrf = true xsrfkey = 61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o xsrfexpire = 3600 或者直接在 main 入口处这样设置: beego.EnableXSRF = true beego.XSRFKEY = "61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o" beego.XSRFExpire = 3600 //过期时间,默认60秒 如果开启了 XSRF,那么 Beego 的 Web 应用将对所有用户设置一个 _xsrf 的 cookie 值(默认过期 60 秒),如果 POST PUT DELET 请求中没有这个 cookie 值