本站首页 收藏本站
广告位联系

APP正在开发中...
返回顶部
您的位置: 主页 > 脚本 > Golang >

收藏
分享到

Go语言中确保Cookie数据的安全传输

Golang 来源:互联网搜集 作者:秩名 发布时间:2020-03-08 20:26:16 人浏览
摘要

什么是Cookie Cookie(也叫Web Cookie或浏览器Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Co

什么是Cookie

Cookie(也叫Web Cookie或浏览器Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。

Cookie主要用于以下三个方面:

  • 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)
  • 个性化设置(如用户自定义设置、主题等)
  • 浏览器行为跟踪(如跟踪分析用户行为等)

Go语言如何表示Cookie

在Go的net/http库中使用http.Cookie结构体表示一个Cookie数据,调用http.SetCookie函数则会告诉终端用户的浏览器把给定的http.Cookie值设置到浏览器Cookie里,类似下面:

?
1
2
3
4
5
6
7
func someHandler(w http.ResponseWriter, r *http.Request) {
 c := http.Cookie{
  Name: "UserName",
  Value: "Casey",
 }
 http.SetCookie(w, &c)
}

http.Cookie结构体类型的定义如下:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
type Cookie struct {
  Name string
  Value string
 
  Path    string  // optional
  Domain   string  // optional
  Expires  time.Time // optional
  RawExpires string  // for reading cookies only
 
  // MaxAge=0 means no 'Max-Age' attribute specified.
  // MaxAge<0 means delete cookie now, equivalently 'Max-Age: 0'
  // MaxAge>0 means Max-Age attribute present and given in seconds
  MaxAge  int
  Secure  bool
  HttpOnly bool
  SameSite SameSite
  Raw   string
  Unparsed []string // Raw text of unparsed attribute-value pairs
}

Name和Value字段就不多说了,单独针对几个需要解释的字段进行说明。

Domain

默认值是当前正在访问的Host的域名,假设我们现在正在访问的是www.example.com,如果需要其他子域名也能够访问到正在设置的Cookie值的话,将它设置为example.com 。注意,只有正在被设置的Cookie需要被其他子域名的服务访问到时才这么设置。

?
1
2
3
4
c := Cookie{
 ......
 Domain: "example.com",
}

Path

设置当前的 Cookie 值只有在访问指定路径时才能被服务器程序读取。默认为服务端应用程序上的任何路径,但是您可以使用它限制为特定的子目录。例如:

?
1
2
3
c := Cookie{
 Path: "/app/",
}

Secure

标记为Secure 的Cookie只应通过被HTTPS协议加密过的请求发送给服务端。但即便设置了 Secure 标记,敏感信息也不应该通过Cookie传输,因为Cookie有其固有的不安全性,Secure 标记也无法提供确实的安全保障。从 Chrome 52 和 Firefox 52 开始,不安全的站点(http:)无法使用Cookie的 Secure 标记。

HttpOnly

为避免跨域脚本 (XSS) 攻击,通过JavaScript的API无法访问带有 HttpOnly 标记的Cookie,它们只应该发送给服务端。如果包含服务端Session 信息的Cookie 不想被客户端JavaScript 脚本调用,那么就应该为其设置 HttpOnly 标记。

安全地传输Cookie

接下来我们探讨两种安全传输Cookie的方法

对Cookie数据进行数字签名

对数据进行数字签名是在数据上添加“签名”的行为,以便可以验证其真实性。不需要对数据进行加密或屏蔽。

签名的工作方式是通过散列-我们对数据进行散列,然后将数据与数据散列一起存储在Cookie中。然后,当用户将Cookie发送给我们时,我们再次对数据进行哈希处理,并验证其是否与我们创建的原始哈希匹配。

我们不希望用户也用篡改后的数据创建新的哈希,因此经常会看到使用HMAC之类的哈希算法,以便可以使用密钥对数据进行哈希。这样可以防止最终用户同时编辑数据和数字签名(哈希)。

JWT也是使用的这种数字签名的方式进行传输的。

上面的数据签名过程并不需要我们自己去实现,我们可以在Go中使用gorilla/securecookie的程序包来完成此操作,在该程序包中,你可以在创建SecureCookie时为其提供哈希密钥,然后使用该对象来保护你的Cookie。

对Cookie数据进行签名:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
//var s = securecookie.New(hashKey, blockKey)
var hashKey = securecookie.GenerateRandomKey(64)
var s = securecookie.New(hashKey, nil)
 
func SetCookieHandler(w http.ResponseWriter, r *http.Request) {
 encoded, err := s.Encode("cookie-name", "cookie-value")
 if err == nil {
  cookie := &http.Cookie{
   Name: "cookie-name",
   Value: encoded,
   Path: "/",
  }
  http.SetCookie(w, cookie)
  fmt.Fprintln(w, encoded)
 }

解析被签名的 Cookie:

?
1
2
3
4
5
6
7
8
func ReadCookieHandler(w http.ResponseWriter, r *http.Request) {
 if cookie, err := r.Cookie("cookie-name"); err == nil {
  var value string
  if err = s.Decode("cookie-name", cookie.Value, &value); err == nil {
   fmt.Fprintln(w, value)
  }
 }
}

注意这里的Cookie数据未加密,仅仅是被编码了,任何人都可以把Cookie数据解码回来。

加密Cookie 数据

每当将数据存储在Cookie中时,请始终尽量减少存储在Cookie中的敏感数据量。不要存储用户密码之类的东西,并确保任何编码数据也没有此信息。在某些情况下,开发人员在不知不觉中将敏感数据存储在Cookie或JWT中,因为它们是base64编码的,但实际上任何人都可以解码该数据。它已编码,未加密。

这是一个很大的错误,因此,如果你担心意外存储敏感内容,建议 你使用gorilla/securecookie之类的软件包。

之前我们讨论了如何将其用于对Cookie进行数字签名,但是securecookie也可以用于加密和解密Cookie数据,以使其无法轻松解码和读取。

要使用该软件包加密Cookie,只需在创建SecureCookie实例时传入一个blockKey即可。

将上面签名Cookie的代码片段进行一些小改动,其他地方完全不用动,securecookie包会帮助我们进行Cookie的加密和解密:

?
1
2
3
var hashKey = securecookie.GenerateRandomKey(64)
var blockKey = securecookie.GenerateRandomKey(32)
var s = securecookie.New(hashKey, blockKey)

总结

今天的文章除了阐述如何使用Go语言安全地传输Cookie数据外,再次格外强调一遍,编码和加密的不同,从数据可读性上看,两者差不多,但本质上是完全不一样的:

  • 编码使用公开可用的方案将数据转换为另一种格式,以便可以轻松地将其反转。
  • 加密将数据转换为另一种格式,使得只有特定的个人才能逆转转换。

我们在做数据传输时一定要记住两者的区别,某种意义上,我觉得记住这两点的区别比你学会今天文章里怎么安全传输Cookie更重要。
版权声明 : 本文内容来源于互联网或用户自行发布贡献,该文观点仅代表原作者本人。本站仅提供信息存储空间服务和不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权, 违法违规的内容, 请发送邮件至2530232025#qq.cn(#换@)举报,一经查实,本站将立刻删除。

您可能感兴趣的文章 :

原文链接 : https://segmentfault.com/a/1190000021949077
相关文章
  • 基于GORM实现CreateOrUpdate的方法
    CreateOrUpdate 是业务开发中很常见的场景,我们支持用户对某个业务实体进行创建/配置。希望实现的 repository 接口要达到以下两个要求: 如果
  • Golang中的内存逃逸的介绍
    什么是内存逃逸分析 内存逃逸分析是go的编译器在编译期间,根据变量的类型和作用域,确定变量是堆上还是栈上 简单说就是编译器在编译
  • Golang自旋锁的介绍
    自旋锁 获取锁的线程一直处于活跃状态,但是并没有执行任何有效的任务,使用这种锁会造成busy-waiting。 它是为实现保护共享资源而提出的

  • Go语言读写锁RWMutex的源码

    Go语言读写锁RWMutex的源码
    在前面两篇文章中初见 Go Mutex、Go Mutex 源码详解,我们学习了Go语言中的Mutex,它是一把互斥锁,每次只允许一个goroutine进入临界区,可以保
  • Go项目实现优雅关机与平滑重启功能
    什么是优雅关机? 优雅关机就是服务端关机命令发出后不是立即关机,而是等待当前还在处理的请求全部处理完毕后再退出程序,是一种对
  • Go语言操作Excel利器之excelize类库的介绍
    在开发中一些需求需要通过程序操作excel文档,例如导出excel、导入excel、向excel文档中插入图片、表格和图表等信息,使用Excelize就可以方便

  • 利用Go语言快速实现一个极简任务调度系统

    利用Go语言快速实现一个极简任务调度系统
    任务调度(Task Scheduling)是很多软件系统中的重要组成部分,字面上的意思是按照一定要求分配运行一些通常时间较长的脚本或程序。在爬

  • GoLang中的iface 和 eface 的区别介绍

    GoLang中的iface 和 eface 的区别介绍
    GoLang之iface 和 eface 的区别是什么? iface和eface都是 Go 中描述接口的底层结构体,区别在于iface描述的接口包含方法,而eface则是不包含任何方
  • Golang接口使用的教程
    go语言并没有面向对象的相关概念,go语言提到的接口和java、c++等语言提到的接口不同,它不会显示的说明实现了接口,没有继承、子类、
  • go colly 爬虫实现示例介绍
    贡献某CC,go源码爬虫一个,基于colly,效果是根据输入的浏览器cookie及excel必要行列号,从excel中读取公司名称,查询公司法人及电话号码。
推荐阅读
最新更新
友情链接
  • 本站所有内容来源于互联网或用户自行发布,本站仅提供信息存储空间服务,不拥有版权,不承担法律责任。如有侵犯您的权益,请您联系站长处理!
  • Copyright © 2017-2022 F11.CN All Rights Reserved. F11站长开发者网 版权所有 | 苏ICP备2022031554号-1 | 51LA统计