Mari kita bincangkan tentang mekanisme 'permintaan rampasan' golang

Dalam beberapa tahun kebelakangan ini, dengan populariti aplikasi web, penyerang berniat jahat secara beransur-ansur menjadi semakin biasa. Menangani serangan ini telah menjadi isu yang sangat penting dalam proses pembangunan web. Satu jenis serangan dipanggil "permintaan rampasan". Permintaan rampasan merujuk kepada kaedah serangan di mana penyerang mendapatkan permintaan program sasaran tanpa mendapatkan kebenaran dan kebenaran daripada aplikasi web sasaran, dan mencapai penipuan dengan memalsukan data permintaan. Dengan penggunaan bahasa golang yang meluas, risiko rampasan permintaan telah berkembang secara beransur-ansur Pada masa ini, kita perlu mencari penyelesaian untuk merampas permintaan.

Kemunculan Golang menyediakan penyelesaian yang cekap dan pantas untuk aplikasi web. Pada masa yang sama, kerana ciri-ciri golang, terdapat jaminan keselamatan tertentu. Walau bagaimanapun, dalam senario aplikasi sebenar, permintaan rampasan masih wujud, yang menunjukkan bahawa walaupun aplikasi web Golang terdedah kepada permintaan rampasan. Dalam kes ini, kita perlu mempunyai pemahaman yang lebih mendalam tentang mekanisme permintaan yang dirampas dan cara untuk mengelakkannya.

Pertama sekali, prinsip utama permintaan rampasan tidak sukar untuk difahami. Penyerang memalsukan data permintaan rangkaian tanpa kebenaran untuk mencapai penipuan. Berikut adalah contoh. Katakan terdapat laman web pendidikan dalam talian yang membenarkan pendaftaran pengguna melalui permintaan POST. Penyerang boleh menggunakan permintaan POST palsu untuk meminta maklumat pendaftaran daripada tapak web, dan aplikasi web akan berfikir bahawa ini adalah permintaan daripada pengguna yang sah, dan kemudian menyimpan data yang diserahkan untuk tujuan penipuan. Serangan ini sangat berbahaya dan jika aplikasi web tidak dikesan dan ditapis, privasi dan keselamatan pengguna akan berisiko.

Jadi, bagaimana untuk mengelakkan serangan permintaan rampasan? Golang menyediakan penyelesaian yang boleh melindungi aplikasi web dengan berkesan daripada permintaan rampasan. Kaedah ini dipanggil "Token CSRF".

Token CSRF ialah cara yang berkesan untuk menghalang serangan permintaan rampasan. Dengan menjana token khas dalam borang yang diserahkan dan membandingkan token di latar belakang, serangan permintaan rampasan boleh dicegah dengan berkesan. Dalam golang, anda boleh menggunakan perisian tengah sumber terbuka yang dipanggil "gorilla/csrf" untuk mencapai fungsi ini.

Pasang gorilla/csrf middleware

Mula-mula, anda perlu memasang middleware "gorilla/csrf" dalam aplikasi golang anda, gunakan arahan berikut:

$ go get github . com/gorilla/csrf

Arahan ini akan memasang perisian tengah "gorilla/csrf" dan kebergantungannya.

Jana Token CSRF

Sangat mudah untuk menjana Token CSRF menggunakan gorila/csrf dalam golang. Tambahkan fungsi "csrf.Field()" pada borang untuk menjana token. Contohnya:

[]byte("32-byte-long-auth-key"),

return