Go中防止CSRF攻击需为每个会话生成并校验一次性、绑定身份的令牌;推荐使用Gorilla CSRF中间件自动管理token,或手动实现时须用crypto/rand生成、session绑定、恒定时间比较校验。
在 Go 语言中防止 CSRF(跨站请求伪造)攻击,核心是为每个用户会话生成并校验一次性、绑定身份的令牌(CSRF Token),确保敏感操作(如表单提交、API 修改请求)确实来自用户本意发起的合法页面。
使用 Gorilla CSRF 中间件(推荐)
Gorilla 的 csrf 包是 Go 社区最成熟、被广泛验证的解决方案。它自动管理 token 的生成、签名、存储(默认基于 session cookie)与校验,且兼容标准 net/http 和主流框架(如 Gin、Echo 可适配)。
- 安装:
go get -u github.com/gorilla/csrf - 基础用法:在 HTTP handler 链中插入中间件,并在模板中注入 token
示例(标准 net/http):
package main
import (
"html/template"
"net/http"
"github.com/gorilla/csrf"
"github.com/gorilla/sessions"
)
var t = template.Must(template.New("example").Parse(`
`))
func handler(w http.ResponseWriter, r *http.Request) {
if r.Method == "POST" {
// 中间件已确保 POST 请求携带有效 token,此处可安全处理业务
http.Redirect(w, r, "/success", http.StatusFound)
return
}
data := struct{ CSRFToken string }{CSRFToken: csrf.Token(r)}
t.Execute(w, data)
}
func main() {
r := http.NewServeMux()
r.HandleFunc("/", handler)
// 使用带签名的 CookieStore(必须设置密钥!)
store := sessions.NewCookieStore([]byte("your-32-byte-secret-key-here"))
csrfHandler := csrf.Protect(
[]byte("another-32-byte-unique-key"), // 签名密钥,需保密且固定
csrf.Secure(false), // 开发时设 false;生产务必为 true(HTTPS)
csrf.HttpOnly(true),
csrf.SameSite(csrf.SameSiteLaxMode), // 推荐 Lax,兼顾安全性与用户体验
)
http.ListenAndServe(":8080", csrfHandler(r))
}
手动管理 Token(适合轻量或自定义场景)
若不希望引入外部依赖,可自行实现 token 流程,但需严格注意安全细节:
立即学习“go语言免费学习笔记(深入)”;
- Token 必须由服务端生成(不可客户端生成),使用加密安全随机数(
crypto/rand) - Token 需绑定当前用户 session(如存入 session 存储或 Redis),且设置合理过期时间(如 2 小时)
- 每次敏感请求前,从 session 中取出 token 并比对请求中携带的值(恒定时间比较防时序攻击)
- 建议一次一用(提交后立即失效),或至少限制重放次数
关键代码片段:
func generateCSRFToken() (string, error) {
b := make([]byte, 32)
if _, err := rand.Read(b); err != nil {
return "", err
}
return base64.URLEncoding.EncodeToString(b), nil
}
// 校验时使用 crypto/subtle.ConstantTimeCompare 防侧信道
func validCSRFToken(sessionToken, reqToken string) bool {
if len(sessionToken) != len(reqToken) {
return false
}
return subtle.ConstantTimeCompare([]byte(sessionToken), []byte(reqToken)) == 1
}
前端配合要点
CSRF 防护是前后端协作过程,前端需正确传递 token:
- HTML 表单:将 token 放在隐藏字段(
) - AJAX 请求:通过
X-CSRF-Token请求头发送(Gorilla 默认支持该 header) - 避免在 URL 查询参数中传 token(易泄露、被日志记录)
- 单页应用(SPA)中,首次加载页面时由后端注入 token 到 JS 全局变量或 meta 标签,再由 JS 拦截请求自动添加
其他必要防护措施
CSRF 中间件不能替代其它安全实践:
- 始终校验 HTTP 方法和语义:GET 不应修改状态;敏感操作强制用 POST/PUT/DELETE
-
启用 SameSite Cookie 属性:设置
SameSite=Lax或Strict(Gorilla CSRF 默认开启 Lax) - 敏感操作二次确认:如删除账户、修改密码等,额外要求输入密码或短信验证码
- 避免在 JSON API 中仅依赖 Cookie 认证:可结合 Bearer Token + CSRF Token 双校验,或改用无状态 JWT(但仍需防范 XSS 泄露 token)
不复杂但容易忽略:密钥管理、HTTPS 强制启用、token 绑定 session 的完整性——这些细节决定了防护是否真正生效。
