beego——XSRF过滤

跨站请求伪造，简称XSRF，是Web应用中常见的一个安全问题。

当前防范 XSRF 的一种通用的方法，是对每一个用户都记录一个无法预知的token数据，

然后要求所有提交的请求（POST/PUT/DELETE）中都必须带有这个token数据。如果此数据不匹配 ，那么这个请求就可能是被伪造的

关于XSRF攻击的详细内容可以参考博客：https://www.cnblogs.com/yangmingxianshen/p/8416843.html

beego有内建的XSRF的防范机制，要使用此机制，你需要在应用配置文件中加上enablexsrf设定：

enablexsrf = true
xsrfkey = 61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o
xsrfexpire = 3600

或者直接在main入口处这样设置：

beego.EnableXSRF = true
beego.XSRFKEY = "61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o"
beego.XSRFExpire = 3600  //过期时间，默认1小时

如果开启了XSRF，那么beego的Web应用将所有用户设置一个_xsrf的token值（默认过期1小时）。

如果POST PUT DELETE请求中没有这个token值，那么这个请求会被直接拒绝。

如果你开启了这个机制，那么在所有被提交的表单中，你都需要加上一个域来提供这个值。你可以通过在模板中使用专门的函数XSRFFormHTML() 来做到这一点。

过期时间上面我们设置了全局的过期时间beego.XSRFExpire，但是有些时候我们也可以在控制器中修改这个过期时间，专门对某一类处理逻辑：

func (this *HomeController) Get(){
    this.XSRFExpire = 7200
    this.Data["xsrfdata"]=template.HTML(this.XSRFFormHTML())
}

在表单中使用

在Controller中这样设置数据：

func (this *HomeController) Get(){
    this.Data["xsrfdata"]=template.HTML(this.XSRFFormHTML())
}

然后再模板中这样设置：

<form action="/new_message" method="post">
  {{ .xsrfdata }}
  <input type="text" name="message"/>
  <input type="submit" value="Post"/>
</form>

　　

在JS中使用：

如果你提交的是AJAX的POST请求，你还是需要在每一个请求中通过脚本添加上_xsrf这个值。

下面是在AJAX的POST请求，使用jQuery函数来为所有的请求都添加_xsrf值：

jQuery cookie插件：https://github.com/carhartl/jquery-cookie
base64 插件：http://phpjs.org/functions/base64_decode/

jQuery.postJSON = function(url, args, callback) {
   var xsrf, xsrflist;
   xsrf = $.cookie("_xsrf");
   xsrflist = xsrf.split("|");
   args._xsrf = base64_decode(xsrflist[0]);
    $.ajax({url: url, data: $.param(args), dataType: "text", type: "POST",
        success: function(response) {
        callback(eval("(" + response + ")"));
    }});
};

　　

扩展jquery

通过扩展ajax给每个请求加入xsrf的header，需要在html中保存一个_xsrf值。

func (this *HomeController) Get(){
    this.Data["xsrf_token"] = this.XSRFToken()
}

放在你的head中：

<head>
    <meta name="_xsrf" content="{{.xsrf_token}}" />
</head>

扩展ajax方法，将_xsrf值加入header，扩展后支持jquery post/get等内部使用了ajax的方法。

var ajax = $.ajax;
$.extend({
    ajax: function(url, options) {
        if (typeof url === 'object') {
            options = url;
            url = undefined;
        }
        options = options || {};
        url = options.url;
        var xsrftoken = $('meta[name=_xsrf]').attr('content');
        var headers = options.headers || {};
        var domain = document.domain.replace(/\./ig, '\\.');
        if (!/^(http:|https:).*/.test(url) || eval('/^(http:|https:)\\/\\/(.+\\.)*' + domain + '.*/').test(url)) {
            headers = $.extend(headers, {'X-Xsrftoken':xsrftoken});
        }
        options.headers = headers;
        return ajax(url, options);
    }
});

对于PUT和DELETE请求以及不使用将form内容作为参数的POST请求来说，你也可以在HTTP头中以X-XSRF Token这个参数传递XSRF token。

如果你需要针对每一个请求处理器定制XSRF行为，你可以重写Controller的CheckXSRFCookie方法。

例如你需要使用一个不支持cookie的API，你可以通过将CheckXSRFCookie()函数设空来禁用XSRF保护机制。

然而如果你需要同时支持cookie和非cookie认证方式，那么只要当前请求通过cookie进行认证的，你就应该对齐使用XSRF保护机制。

支持controller级别的屏蔽

XSRF之前是全局设置的一个参数，如果设置了那么所有的API请求都会进行验证，但是有些时候API逻辑是不需要进行验证的，因此现在支持在controller级别设置屏蔽：

type AdminController struct{
    beego.Controller
}

func (a *AdminController) Prepare() {
    a.EnableXSRF = false
}