从Golang Buffalo网络应用发送推文时,无法设置CSRF令牌

时间:2019-04-12 12:17:30

标签: go csrf buffalo

我要构建的Go Buffalo Web应用程序遇到问题。我基本上在前端有一个标准表单,当单击该表单时,该表单应该向用户Twitter帐户发送推文。 这样做时,我得到“ 500:未找到CSRF”。 我正在使用用于Web应用程序的Go Buffalo框架和go-twitter来处理twitter API。

我对CSRF几乎没有经验,所以希望有人可以在这种情况下为我提供帮助。

tweet.HTML:

<h3>Tweet tweet!</h3>
<form action="/tweet" method="POST">
    <div class="form-group">
        <label for="tweet">Your tweet:</label>
        <input type="text" name="tweet" class="form-control" id="tweet" placeholder="Tweet body" 
        value="">
    </div>
    <button type="submit" class="btn btn-primary">Send</button>
</form>

路由器:

app.POST("/tweet", SendHandler)

Tweet.go(包含SendHandler函数):

package actions

import (
    "fmt"
    "log"
    "os"

    "twitapp/twitter"

    "github.com/gobuffalo/buffalo"
)

var creds = twitter.Credentials{
    AccessToken:       os.Getenv("ACCESS_TOKEN"),
    AccessTokenSecret: os.Getenv("ACCESS_TOKEN_SECRET"),
    APIKey:            os.Getenv("API_KEY"),
    APISecret:         os.Getenv("API_SECRET"),
}

type TweetForm struct {
    TweetBody string
}

// TweetHandler is the handler for the Tweet page
func TweetHandler(c buffalo.Context) error {
    return c.Render(200, r.HTML("tweet.html"))
}

//SendHandler Function used by tweet.html to send the tweet/
//Takes in variables from twitter/server.go
func SendHandler(c buffalo.Context) error {

    var form TweetForm
    body := form.TweetBody

    fmt.Printf("%+v\n", creds)

    //Gets the client from the twitter package
    client, err := twitter.GetClient(&creds)
    if err != nil {
        log.Println("Error getting Twitter Client")
        log.Println(err)
    }

    //Sending the actual tweet. Body from the form
    tweet, resp, err := client.Statuses.Update(body, nil)
    if err != nil {
        log.Println(err)
    }
    log.Printf("%+v\n", resp)
    log.Printf("%+v\n", tweet)
    return c.Redirect(302, "/tweet/confirm")

}

还有一个从SendHandler函数调用的GetClient函数,但我无法想象问题出在那儿,因为它是为调用设置Twitter客户端的标准代码。 感谢任何帮助/指出正确的方向。我目前对CSRF缺乏足够的知识,无法将其应用于此。

2 个答案:

答案 0 :(得分:1)

CSRF是布法罗试图保护您免受攻击的一种攻击。

为此,它使用CSRF middleware来检查每个可以使您的数据发生变异的请求(例如POST,PUT,DELETE等),并查找特定的令牌。 在您的用例中,Buffalo希望您发送一个名为“ authenticity_token”的输入字段,并在上下文中添加CSRF中间件的值。您可以在上下文中的同一“ authenticity_token”键处找到该值。

另一种解决方案是使用标签帮助程序(https://github.com/gobuffalo/tags)库,该库为您生成以下预期输入:https://github.com/gobuffalo/tags/wiki/Form

答案 1 :(得分:0)

浏览完GoBuffalo文档,尤其是表单页面的THIS部分之后,我要做的就是将这行代码添加到表单(tweet.html)中以处理真实性令牌。 / p> 

<input name="authenticity_token" type="hidden" value="<%= authenticity_token %>">
相关问题
最新问题