Go语言中如何确保Cookie数据的安全传输

什么是Cookie

Cookie(也叫Web Cookie或浏览器Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。

Cookie主要用于以下三个方面:

  • 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)
  • 个性化设置(如用户自定义设置、主题等)
  • 浏览器行为跟踪(如跟踪分析用户行为等)

Go语言如何表示Cookie

在Go的net/http库中使用http.Cookie结构体表示一个Cookie数据,调用http.SetCookie函数则会告诉终端用户的浏览器把给定的http.Cookie值设置到浏览器Cookie里,类似下面:

func someHandler(w http.ResponseWriter, r *http.Request) {
 c := http.Cookie{
  Name: "UserName",
  Value: "Casey",
 }
 http.SetCookie(w, &c)
}

http.Cookie结构体类型的定义如下:

type Cookie struct {
  Name string
  Value string

  Path    string  // optional
  Domain   string  // optional
  Expires  time.Time // optional
  RawExpires string  // for reading cookies only

  // MaxAge=0 means no 'Max-Age' attribute specified.
  // MaxAge<0 means delete cookie now, equivalently 'Max-Age: 0'
  // MaxAge>0 means Max-Age attribute present and given in seconds
  MaxAge  int
  Secure  bool
  HttpOnly bool
  SameSite SameSite
  Raw   string
  Unparsed []string // Raw text of unparsed attribute-value pairs
}

Name和Value字段就不多说了,单独针对几个需要解释的字段进行说明。

Domain

默认值是当前正在访问的Host的域名,假设我们现在正在访问的是www.example.com,如果需要其他子域名也能够访问到正在设置的Cookie值的话,将它设置为example.com 。注意,只有正在被设置的Cookie需要被其他子域名的服务访问到时才这么设置。

c := Cookie{
 ......
 Domain: "example.com",
}

Path

设置当前的 Cookie 值只有在访问指定路径时才能被服务器程序读取。默认为服务端应用程序上的任何路径,但是您可以使用它限制为特定的子目录。例如:

c := Cookie{
 Path: "/app/",
}

Secure

标记为Secure 的Cookie只应通过被HTTPS协议加密过的请求发送给服务端。但即便设置了 Secure 标记,敏感信息也不应该通过Cookie传输,因为Cookie有其固有的不安全性,Secure 标记也无法提供确实的安全保障。从 Chrome 52 和 Firefox 52 开始,不安全的站点(http:)无法使用Cookie的 Secure 标记。

HttpOnly

为避免跨域脚本 (XSS) 攻击,通过JavaScript的API无法访问带有 HttpOnly 标记的Cookie,它们只应该发送给服务端。如果包含服务端Session 信息的Cookie 不想被客户端JavaScript 脚本调用,那么就应该为其设置 HttpOnly 标记。

安全地传输Cookie

接下来我们探讨两种安全传输Cookie的方法

对Cookie数据进行数字签名

对数据进行数字签名是在数据上添加“签名”的行为,以便可以验证其真实性。不需要对数据进行加密或屏蔽。

签名的工作方式是通过散列-我们对数据进行散列,然后将数据与数据散列一起存储在Cookie中。然后,当用户将Cookie发送给我们时,我们再次对数据进行哈希处理,并验证其是否与我们创建的原始哈希匹配。

我们不希望用户也用篡改后的数据创建新的哈希,因此经常会看到使用HMAC之类的哈希算法,以便可以使用密钥对数据进行哈希。这样可以防止最终用户同时编辑数据和数字签名(哈希)。

JWT也是使用的这种数字签名的方式进行传输的。

上面的数据签名过程并不需要我们自己去实现,我们可以在Go中使用gorilla/securecookie的程序包来完成此操作,在该程序包中,你可以在创建SecureCookie时为其提供哈希密钥,然后使用该对象来保护你的Cookie。

对Cookie数据进行签名:

//var s = securecookie.New(hashKey, blockKey)
var hashKey = securecookie.GenerateRandomKey(64)
var s = securecookie.New(hashKey, nil)

func SetCookieHandler(w http.ResponseWriter, r *http.Request) {
 encoded, err := s.Encode("cookie-name", "cookie-value")
 if err == nil {
  cookie := &http.Cookie{
   Name: "cookie-name",
   Value: encoded,
   Path: "/",
  }
  http.SetCookie(w, cookie)
  fmt.Fprintln(w, encoded)
 }

解析被签名的 Cookie:

func ReadCookieHandler(w http.ResponseWriter, r *http.Request) {
 if cookie, err := r.Cookie("cookie-name"); err == nil {
  var value string
  if err = s.Decode("cookie-name", cookie.Value, &value); err == nil {
   fmt.Fprintln(w, value)
  }
 }
}

注意这里的Cookie数据未加密,仅仅是被编码了,任何人都可以把Cookie数据解码回来。

加密Cookie 数据

每当将数据存储在Cookie中时,请始终尽量减少存储在Cookie中的敏感数据量。不要存储用户密码之类的东西,并确保任何编码数据也没有此信息。在某些情况下,开发人员在不知不觉中将敏感数据存储在Cookie或JWT中,因为它们是base64编码的,但实际上任何人都可以解码该数据。它已编码,未加密。

这是一个很大的错误,因此,如果你担心意外存储敏感内容,建议 你使用gorilla/securecookie之类的软件包。

之前我们讨论了如何将其用于对Cookie进行数字签名,但是securecookie也可以用于加密和解密Cookie数据,以使其无法轻松解码和读取。

要使用该软件包加密Cookie,只需在创建SecureCookie实例时传入一个blockKey即可。

将上面签名Cookie的代码片段进行一些小改动,其他地方完全不用动,securecookie包会帮助我们进行Cookie的加密和解密:

var hashKey = securecookie.GenerateRandomKey(64)
var blockKey = securecookie.GenerateRandomKey(32)
var s = securecookie.New(hashKey, blockKey)

总结

今天的文章除了阐述如何使用Go语言安全地传输Cookie数据外,再次格外强调一遍,编码和加密的不同,从数据可读性上看,两者差不多,但本质上是完全不一样的:

  • 编码使用公开可用的方案将数据转换为另一种格式,以便可以轻松地将其反转。
  • 加密将数据转换为另一种格式,使得只有特定的个人才能逆转转换。

我们在做数据传输时一定要记住两者的区别,某种意义上,我觉得记住这两点的区别比你学会今天文章里怎么安全传输Cookie更重要。

到此这篇关于Go语言中如何确保Cookie数据的安全传输的文章就介绍到这了,更多相关Go Cookie数据传输内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • Go语言Cookie用法分析

    本文实例讲述了Go语言Cookie用法.分享给大家供大家参考,具体如下: web 开发免不了要和 cookie 打交道.Go 的 http 库也提供了 cookie 的相关操作. 复制代码 代码如下: type Cookie struct {   Name       string   Value      string   Path       string   Domain     string   Expires    time.Time   RawExpires string   Max

  • Go语言中如何确保Cookie数据的安全传输

    什么是Cookie Cookie(也叫Web Cookie或浏览器Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上.通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态.Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能. Cookie主要用于以下三个方面: 会话状态管理(如用户登录状态.购物车.游戏分数或其它需要记录的信息) 个性化设置(如用户自定义设置.主题等) 浏览器行为跟踪(如

  • C语言中的字符串数据在C中的存储方式

    目录 内存中的五大区域 字符串数据在C语言中有两种存储方式 几个比较容易混的点 统计字符串中某一个字符出现的次数 使用字符指针数组来存储多个字符串数据 内存中的五大区域 栈:是专门用来存储局部变量的,所有的局部变量都是声明在栈区域中 堆:允许程序员手动的从堆申请指定字节数的空间来使用 BSS段:是用来存储未初始化的全局变量和静态变量,声明一个全局变量,如果我们没有初始化,在程序运行最开始的时候,这个全局变量是没有初始化的,存储在BSS段[程序运行后系统就自动的初始化为0,并把初始化后的全局变量存

  • Go语言中转换JSON数据简单例子

    Go语言转换JSON数据真是非常的简单. 以EasyUI的Demo为例,将/demo/datagrid/datagrid_data1.json 拷贝到$GOPATH/src目录: JSON.go: 复制代码 代码如下: package main import (         "encoding/json"         "fmt"         "io/ioutil" ) type product struct {         Pro

  • C语言二进制思想以及数据的存储

    我们平时使用的数字都是由 0~9 共十个数字组成的,例如 1.9.10.297.952 等,一个数字最多能表示九,如果要表示十. 十一.二十九.一百等,就需要多个数字组合起来. 例如表示 5+8 的结果,一个数字不够,只能"进位",用 13 来表示:这时"进一位"相当于十,"进两位"相当于二十. 因为逢十进一,也因为只有 0~9 共十个数字,所以叫做十进制(Decimalism). 进制也就是进位制.在进行加法(减法)运算时,逢X进(借)一就是X

  • R语言中对数据框的列名重命名的实现

    报错类型 Error: All arguments must be named plyr中的rename和dplyr中的rename用法是不同的. plyr::rename rename(data, c(old=new)) dplyr::rename rename(data, new = old) Example 比如, 默认的是plyr的rename, 运行下面命令, 会报错: d <- data.frame(old1=1:3, old2=4:6, old3=7:9) d library(ti

  • R语言中矩阵matrix和数据框data.frame的使用详解

    本文主要介绍了R语言中矩阵matrix和数据框data.frame的一些使用,分享给大家,具体如下: "一,矩阵matrix" "创建向量" x_1=c(1,2,3) x_1=c(1:3) x_2=1:3 typeof(x_1)==typeof(x_2)#查看目标类型 x_3=seq(1,6,length=3)#将1--6分为3个数 a<-rep(1:3,each=3) #1到3依次重复 c<-rep(1:3,times=3) #1到3重复3次 d<

  • 关于C语言中数据在内存中的存储详解

    前言 1. 数据类型详细介绍 2. 整形在内存中的存储:原码.反码.补码 3. 大小端字节序介绍及判断 4. 浮点型在内存中的存储解析 一.数据类型介绍 1.类型的基本归类 1.整形家族 char unsigned char signed char short unsigned short [int] signed short [int] int unsigned int signed int long unsigned long [int] signed long [int] 2.浮点型家族

  • 详解C语言中不同类型的数据转换规则

    不同类型数据间的混合运算与类型转换 1.自动类型转换 在C语言中,自动类型转换遵循以下规则: ①若参与运算量的类型不同,则先转换成同一类型,然后进行运算 ②转换按数据长度增加的方向进行,以保证精度不降低.如int型和long型运算时,先把int量转成long型后再进行运算 a.若两种类型的字节数不同,转换成字节数高的类型 b.若两种类型的字节数相同,且一种有符号,一种无符号,则转换成无符号类型 ③所有的浮点运算都是以双精度进行的,即使是两个float单精度量运算的表达式,也要先转换成double

  • C语言中数据在内存如何存储

    目录 数据类型 类型的基本归类 整形 浮点型 构造类型(自定义类型) 指针类型 空类型 整形在内存中的存储 大小端字节序 储存时数据发生截断以及整型提升 浮点型在内存中的存储 浮点型和整形在内存中的储存方式不同 拿出这些储存的数据(三种情乱) 情况一:E不全为0或不为全1 情况二:E全为0 情况三:E为全1 数据类型 常见的数据类型 常见的数据类型 字节 char 字符数据类型 1 short 短整型 2 int 整形 4 long 长整型 4 long long 更长的整形 8 float 浮

  • C语言中字符型数据和浮点型数据介绍

    目录 字符型 1.来练练,输出一个字符A 2.将小写字母转为大写字母 浮点型 先来看看float代码 以下是双精度的浮点型double 练习题 新的一天又开始了哈,又是好好学习的一天啦.话不多说,直接走起! 字符型 首先要了解ASII码,这里面有很多东东,但只要记住三样即可推出后面的东东了.0对应48,A对应65,a对应97,所以1对应49,B对应66,b对应98.之后以此类推即可.这里下面的char的本质就是一个1字节大小的整型 1.来练练,输出一个字符A #include <stdio.h>

随机推荐