Go中防止CSRF攻击需为每个会话生成并校验一次性、绑定身份的令牌;推荐使用Gorilla CSRF中间件自动管理token,或手动实现时须用crypto/rand生成、session绑定、恒定时间比较校验。
在 Go 语言中防止 CSRF(跨站请求伪造)攻击,核心是为每个用户会话生成并校验一次性、绑定身份的令牌(CSRF Token),确保敏感操作(如表单提交、API 修改请求)确实来自用户本意发起的合法页面。
Gorilla 的 csrf 包是 Go 社区最成熟、被广泛验证的解决方案。它自动管理 token 的生成、签名、存储(默认基于 session cookie)与校验,且兼容标准 net/http 和主流框架(如 Gin、Echo 可适配)。
go get -u github.com/gorilla/csrf
示例(标准 net/http):
package main
import (
"html/template"
"net/http"
"github.com/gorilla/csrf"
"github.com/gorilla/sessions"
)
var t = template.Must(template.New("example").Parse(`
`))
func handler(w http.ResponseWriter, r *http.Request) {
if r.Method == "POST" {
// 中间件已确保 POST 请求携带有效 token,此处可安全处理业务
http.Redirect(w, r, "/success", http.StatusFound)
return
}
data := struct{ CSRFToken string }{CSRFToken: csrf.Token(r)}
t.Execute(w, data)
}
func main() {
r := http.NewServeMux()
r.HandleFunc("/", handler)
// 使用带签名的 CookieStore(必须设置密钥!)
store := sessions.NewCookieStore([]byte("your-32-byte-secret-key-here"))
csrfHandler := csrf.Protect(
[]byte("another-32-byte-unique-key"), // 签名密钥,需保密且固定
csrf.Secure(false), // 开发时设 false;生产务必为 true(HTTPS)
csrf.HttpOnly(true),
csrf.SameSite(csrf
.SameSiteLaxMode), // 推荐 Lax,兼顾安全性与用户体验
)
http.ListenAndServe(":8080", csrfHandler(r))
}
若不希望引入外部依赖,可自行实现 token 流程,但需严格注意安全细节:
crypto/rand)关键代码片段:
func generateCSRFToken() (string, error) {
b := make([]byte, 32)
if _, err := rand.Read(b); err != nil {
return "", err
}
return base64.URLEncoding.EncodeToString(b), nil
}
// 校验时使用 crypto/subtle.ConstantTimeCompare 防侧信道
func validCSRFToken(sessionToken, reqToken string) bool {
if len(sessionToken) != len(reqToken) {
return false
}
return subtle.ConstantTimeCompare([]byte(sessionToken), []byte(reqToken)) == 1
}
CSRF 防护是前后端协作过程,前端需正确传递 token:
X-CSRF-Token 请求头发送(Gorilla 默认支持该 header)CSRF 中间件不能替代其它安全实践:
SameSite=Lax 或 Strict(Gorilla CSRF 默认开启 Lax)不复杂但容易忽略:密钥管理、HTTPS 强制启用、token 绑定 session 的完整性——这些细节决定了防护是否真正生效。