我一直在阅读有关使用go和gorilla工具包实现它的csrf和fiddliN。我也在使用gorilla会话,我已经实现了将用户ID存储在加密的cookie中。
cookie被解密了,我使用我写的中间件,用现在未加密的键值存储从db中获取用户...
如果用户通过oauth2提供程序从身份验证创建会话cookie,如果所有需要此类保护的视图仅允许authed用户,是否还需要实现csrf保护?
答案 0 :(得分:4)
假设用户已登录您的站点,并继续在同一会话中浏览Internet。他们偶然发现了另一个恶意瞄准你的网站,使用HTML或JS导致用户的浏览器向您网站上的端点发出请求。这将包含您域的用户会话cookie,除非受CSRF令牌保护,否则将成功。