跨站请求伪造(英语: Cross-Site Request Forgery
),也被称为one-click attack或者session riding,通常缩写为CSRF 或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本( XSS
)相比, XSS 利用的是用户对指定网站的信任, CSRF
利用的是网站对用户网页浏览器的信任。
如何防御
这里我们选择通过 token
的方式对请求进行校验,通过中间件的方式实现, CSRF
跨站点防御插件由社区包提供。
开发者可以通过对接口添加中间件的方式,增加 token
校验功能。
感兴趣的朋友可以阅读插件源码 https://github.com/gogf/csrf
使用方式
引入插件包
import "github.com/gogf/csrf"