Go Web 编程--如何确保Cookie数据的安全传输
什么是Cookie
Cookie
(也叫Web Cookie
或浏览器Cookie
)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie
使基于无状态的HTTP协议记录稳定的状态信息成为了可能。
Cookie
主要用于以下三个方面:
- 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)
- 个性化设置(如用户自定义设置、主题等)
- 浏览器行为跟踪(如跟踪分析用户行为等)
Go语言如何表示Cookie
在Go
的net/http
库中使用http.Cookie
结构体表示一个Cookie
数据,调用http.SetCookie
函数则会告诉终端用户的浏览器把给定的http.Cookie
值设置到浏览器Cookie
里,类似下面:
func someHandler(w http.ResponseWriter, r *http.Request) {c := http.Cookie{Name: "UserName",Value: "Casey",}http.SetCookie(w, &c)
}
http.Cookie
结构体类型的定义如下:
type Cookie struct {Name stringValue stringPath string // optionalDomain string // optionalExpires time.Time // optionalRawExpires string // for reading cookies only// MaxAge=0 means no 'Max-Age' attribute specified.// MaxAge<0 means delete cookie now, equivalently 'Max-Age: 0'// MaxAge>0 means Max-Age attribute present and given in secondsMaxAge intSecure boolHttpOnly boolSameSite SameSiteRaw stringUnparsed []string // Raw text of unparsed attribute-value pairs
}
Name
和Value
字段就不多说了,单独针对几个需要解释的字段进行说明。
Domain
默认值是当前正在访问的Host
的域名,假设我们现在正在访问的是www.example.com
,如果需要其他子域名也能够访问到正在设置的Cookie
值的话,将它设置为example.com
。注意,只有正在被设置的Cookie
需要被其他子域名的服务访问到时才这么设置。
c := Cookie{......Domain: "example.com",
}
Path
设置当前的 Cookie 值只有在访问指定路径时才能被服务器程序读取。默认为服务端应用程序上的任何路径,但是您可以使用它限制为特定的子目录。例如:
c := Cookie{Path: "/app/",
}
Secure
标记为Secure
的Cookie只应通过被HTTPS
协议加密过的请求发送给服务端。但即便设置了 Secure
标记,敏感信息也不应该通过Cookie
传输,因为Cookie
有其固有的不安全性,Secure
标记也无法提供确实的安全保障。从 Chrome 52 和 Firefox 52 开始,不安全的站点(http:
)无法使用Cookie
的 Secure
标记。
HttpOnly
为避免跨域脚本 (XSS) 攻击,通过JavaScript
的API无法访问带有 HttpOnly
标记的Cookie,它们只应该发送给服务端。如果包含服务端Session
信息的Cookie
不想被客户端JavaScript
脚本调用,那么就应该为其设置 HttpOnly
标记。
安全地传输Cookie
接下来我们探讨两种安全传输Cookie
的方法
对Cookie数据进行数字签名
对数据进行数字签名是在数据上添加“签名”的行为,以便可以验证其真实性。不需要对数据进行加密或屏蔽。
签名的工作方式是通过散列-我们对数据进行散列,然后将数据与数据散列一起存储在Cookie
中。然后,当用户将Cookie
发送给我们时,我们再次对数据进行哈希处理,并验证其是否与我们创建的原始哈希匹配。
我们不希望用户也用篡改后的数据创建新的哈希,因此经常会看到使用HMAC
之类的哈希算法,以便可以使用密钥对数据进行哈希。这样可以防止最终用户同时编辑数据和数字签名(哈希)。
JWT
也是使用的这种数字签名的方式进行传输的。
上面的数据签名过程并不需要我们自己去实现,我们可以在Go
中使用gorilla/securecookie
的程序包来完成此操作,在该程序包中,你可以在创建SecureCookie
时为其提供哈希密钥,然后使用该对象来保护你的Cookie
。
对Cookie
数据进行签名:
//var s = securecookie.New(hashKey, blockKey)
var hashKey = securecookie.GenerateRandomKey(64)
var s = securecookie.New(hashKey, nil)func SetCookieHandler(w http.ResponseWriter, r *http.Request) {encoded, err := s.Encode("cookie-name", "cookie-value")if err == nil {cookie := &http.Cookie{Name: "cookie-name",Value: encoded,Path: "/",}http.SetCookie(w, cookie)fmt.Fprintln(w, encoded)}
解析被签名的 Cookie:
func ReadCookieHandler(w http.ResponseWriter, r *http.Request) {if cookie, err := r.Cookie("cookie-name"); err == nil {var value stringif err = s.Decode("cookie-name", cookie.Value, &value); err == nil {fmt.Fprintln(w, value)}}
}
注意这里的Cookie
数据未加密,仅仅是被编码了,任何人都可以把Cookie
数据解码回来。
加密Cookie 数据
每当将数据存储在Cookie
中时,请始终尽量减少存储在Cookie
中的敏感数据量。不要存储用户密码之类的东西,并确保任何编码数据也没有此信息。在某些情况下,开发人员在不知不觉中将敏感数据存储在Cookie
或JWT
中,因为它们是base64
编码的,但实际上任何人都可以解码该数据。它已编码,未加密。
这是一个很大的错误,因此,如果你担心意外存储敏感内容,建议 你使用gorilla/securecookie
之类的软件包。
之前我们讨论了如何将其用于对Cookie
进行数字签名,但是securecookie
也可以用于加密和解密Cookie
数据,以使其无法轻松解码和读取。
要使用该软件包加密Cookie
,只需在创建SecureCookie
实例时传入一个blockKey
即可。
将上面签名Cookie
的代码片段进行一些小改动,其他地方完全不用动,securecookie
包会帮助我们进行Cookie
的加密和解密:
var hashKey = securecookie.GenerateRandomKey(64)
var blockKey = securecookie.GenerateRandomKey(32)
var s = securecookie.New(hashKey, blockKey)
总结
今天的文章除了阐述如何使用Go
语言安全地传输Cookie
数据外,再次格外强调一遍,编码和加密的不同,从数据可读性上看,两者差不多,但本质上是完全不一样的:
- 编码使用公开可用的方案将数据转换为另一种格式,以便可以轻松地将其反转。
- 加密将数据转换为另一种格式,使得只有特定的个人才能逆转转换。
我们在做数据传输时一定要记住两者的区别,某种意义上,我觉得记住这两点的区别比你学会今天文章里怎么安全传输Cookie
更重要。
前文回顾:
深入学习用Go编写HTTP服务器
使用gorilla/mux增强Go HTTP服务器的路由能力
十分钟学会用Go编写Web中间件
Go Web编程--应用ORM
Go Web编程--深入学习解析HTTP请求
Go Web编程--使用Go语言创建静态文件服务器
Go Web 编程--如何确保Cookie数据的安全传输相关推荐
- set-cookie 和 cookie 的区别_Go Web 编程如何确保Cookie数据的安全传输
什么是Cookie Cookie(也叫Web Cookie或浏览器Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上.通常, ...
- Go Web编程--SecureCookie实现客户端Session管理
在Web应用开发中Session是在用户和服务器之间进行交换的非持久化交互信息.当用户登录时,可以在用户和服务器之间生成Session,然后来回交换数据,并在用户登出时销毁Session.gorill ...
- 闲聊flask web编程中的cookie
在web编程中,cookie和session的区别于联系并不是一个很容易搞清楚的事情.在我从事后端工作的很长时间里,对于他们的应用也并不多,因为大多数时间都是在编写API接口供其他系统调用,而cook ...
- 怎么调用获取被创建的预制体_Go 语言 Web 编程系列—— 获取用户请求数据(上)...
0.GET/POST 请求数据 在 PHP 中,可以直接通过全局变量 $_GET 和 $_POST 快速获取 GET/POST 请求数据,GET 请求数据主要是 URL 查询字符串中包含的参数,以前面 ...
- WEB安全:什么是Cookie,Cookie数据泄漏的危害
一.什么是Cookie 简单来说,Cookie是网站在用户浏览器中保存下来的一份个人信息,有了Cookie,用户下次访问该网站时就可以免输入用户名甚至密码了(比如登陆淘宝网,用户名一栏就自动填充了,而 ...
- 《jQuery与JavaScript入门经典》——第 1 章 动态Web编程简介 1.1理解Web服务器浏览器范式...
本节书摘来自异步社区<jQuery与JavaScript入门经典>一书中的第1章,第1.1节,作者:[美]Brad Dayley著,更多章节内容可以访问云栖社区"异步社区&quo ...
- 搞懂了这几点,你就学会了Web编程
做了那么多年Web编程,仔细想想, 其实本质上就那点事儿, 你抓住了几个重点问题, 学起来一点都不难. 1. 理解浏览器/服务器结构 (B/S) B/S 是从 90年代的客户端/服务器端发展而来, ...
- web编程 模块1 html,PYcore python programming笔记C20 Web编程
C20 Web编程 20.1介绍 C/S架构 服务端永远运行 HTTP协议 :无状态协议,不跟踪一个客户端到另一个客户端的请求,但会被处理为独立的服务请求 使用URL和cookie保存信息 U ...
- easyui datagrid url不请求请求_Go Web编程--深入学习解析HTTP请求
之前这个系列的文章一直在讲用Go语言怎么编写HTTP服务器来提供服务,如何给服务器配置路由来匹配请求到对应的处理程序,如何添加中间件把一些通用的处理任务从具体的Handler中解耦出来,以及如何更规范 ...
最新文章
- 2016年5月9日 晨间日记
- C#把数据写到硬盘指定位置
- 15 个最佳的 jQuery 表格插件
- 实用ExtJS教程100例-002:MessageBox的三种用法
- 央视是否需要cntv.com域名?
- winform绑定多张图片
- 对计算机网络用户而言 掌握网络,计算机网络的特点
- 魔术笔反选_魔术二传手反图案
- 开源方案搭建可离线的精美矢量切片地图服务-6.Mapbox之.pbf字体库
- 使用CSS3关键帧动画创建的动态通知气泡
- 机票预订系统活动图_机票预订系统UML讲解
- 通过注册表永久禁用系统UAC功能
- 使用Swagger生成 API 文档(go语言示例)
- win10和ubuntu双系统,切换优先启动
- 重庆师范大学第一届ACM选拔赛
- 基于PP-ShiTu的商品识别系统
- echart x轴自定义间距
- R语言作业一:矩估计、极大似然估计、拟合、对数正态分布、泊松分布、负二项分布
- 国产文件服务器十大品牌,国产服务器十大品牌
- 三相并网逆变器电流内环解耦