如果我的mux路由器仅限于接受来自我的域的请求,那么会阻止CSRF攻击吗?
例如在我的golang服务器中,我的所有请求都通过我的baseRouter:
baseRouter := mux.NewRouter().Host(`{sub:.*}.myDomain.com`).Subrouter()
所以这不意味着如果用户在另一个网站some.attacker.net上发送请求到我的服务器,那么它只会为每个请求返回一个404因为我的服务器不会处理任何请求来自其他域的请求,从而阻止了CSRF攻击,或者我是基于一些误解?
答案 0 :(得分:1)
不,因为当attacker.example.com张贴到mysite.example.org时,主机标头将设置为mysite.example.org。
Gorilla has a package to enable you to protect against Cross Site Request Forgery