作者:mobiledu2502887507 | 来源:互联网 | 2023-08-27 09:14
为了确定整个WEB操作过程中,哪些连接是跟同一用户有关,我们一般都会使用cookie和session。cookie作用于客户端,把用户数据保存在客户端,session是一种服务器端
为了确定整个WEB操作过程中,哪些连接是跟同一用户有关,我们一般都会使用COOKIE和session。COOKIE作用于客户端,把用户数据保存在客户端,session是一种服务器端的机制,给每一位用户分配唯一的sessionID:要么通过url传递,要么保存在客户端的COOKIEs里,或者保存到数据库中。
COOKIE:在用户通过客户端发送请求给服务端时,服务端就会将赋值COOKIE,并将这个COOKIE保存到客户端,等到用户访问服务器上的其他页面时,就会一起将COOKIE和请求发送到服务器,从而完成验证。
session:在服务端与客户端建立联系后,就会在服务端为客户端创建唯一的sessionID并保存在客户端上。客户端再次访问网站时就会通过sessionID获取内容,这样就可以避免在握手或者传输中暴露用户真实密码。
Go语言中通过net/http包中的SetCOOKIE来设置:
// SetCOOKIE将Set-COOKIE标头添加到提供的ResponseWriter标头中。
//提供的COOKIE必须具有有效的名称。 无效的COOKIE可能会被静默删除。
//ResponseWriter 表示要写入的response,COOKIE是一个struct, 表示在Set-COOKIE标头中发送的HTTP COOKIE
func SetCOOKIE(w ResponseWriter, COOKIE *COOKIE) {
if v := COOKIE.String(); v != "" {
w.Header().Add("Set-COOKIE", v)
}
}
COOKIE的结构示意如下所示:
type COOKIE struct {
Name string
Value string
Path string // 可选
Domain string // 可选
Expires time.Time // 可选
RawExpires string // 仅用于阅读COOKIEs
// MaxAge = 0表示未指定“Max-Age”属性。
// MaxAge <0表示现在删除COOKIE,相当于'Max-Age:0'
// MaxAge> 0表示存在Max-Age属性,以秒为单位给出
MaxAge int
Secure bool
HttpOnly bool
Raw string
Unparsed []string // 未解析的属性 - 值对的原始文本
}
Go设置COOKIE
COOKIE := http.COOKIE{Name: "COOKIEname", Value: "testCOOKIEvalue", Path: "/", MaxAge: 86400}
http.SetCOOKIE(w, &COOKIE)
Go读取COOKIE
COOKIE, err := req.COOKIE("COOKIEname")
Go删除COOKIE
COOKIE := http.COOKIE{Name: "COOKIEname", Path: "/", MaxAge: -1}
http.SetCOOKIE(w, &COOKIE)
下面是一个Go测试COOKIE的小例子
package main
import "net/http"
func main() {
http.HandleFunc("/readCOOKIE", ReadCOOKIE)
http.HandleFunc("/writeCOOKIE", WriteCOOKIE)
http.HandleFunc("/deleteCOOKIE", DeleteCOOKIE)
http.ListenAndServe(":9090", nil)
}
func WriteCOOKIE(w http.ResponseWriter,r *http.Request) {
//创建新的本地COOKIE
COOKIE := http.COOKIE{Name:"localCOOKIE",Value:"GoLang",Path:"/",MaxAge:86400}
http.SetCOOKIE(w,&COOKIE)
w.Write([]byte("设置COOKIE成功"))
}
func ReadCOOKIE(w http.ResponseWriter,r *http.Request) {
//读取COOKIE
COOKIE,err := r.COOKIE("localCOOKIE")
if err == nil {
COOKIEValue := COOKIE.Value
//将数据写入http连接中
w.Write([]byte("COOKIE的值为:"+COOKIEValue))
}else {
w.Write([]byte("读取COOKIE出错:"+err.Error()))
}
}
func DeleteCOOKIE(w http.ResponseWriter,r *http.Request) {
COOKIE := http.COOKIE{Name:"localCOOKIE",Path:"/",MaxAge:-1}
http.SetCOOKIE(w,&COOKIE)
w.Write([]byte("<删除COOKIE成功"))
}
预防session劫持,有以下三种方式
①sessionID的值只允许COOKIE设置,而不是通过URL重置方式设置,同时设置COOKIE的httponly为true,这个属性是设置是否可通过客户端脚本访问这个设置的COOKIE,第一这个可以防止这个COOKIE被XSS读取从而引起session劫持,第二COOKIE设置不会像URL重置方式那么容易获取sessionID
②每个请求里面加上token,实现类似前面章节里面讲的防止form重复递交类似的功能,我们在每个请求里面加上一个隐藏的token,然后每次验证这个token,从而保证用户的请求都是唯一性。
③给session额外设置一个创建时间的值,一旦过了一定的时间,我们销毁这个sessionID,重新生成新的session,这样可以一定程度上防止session劫持的问题。
createtime := sess.Get("createtime")
if createtime == nil {
sess.Set("createtime", time.Now().Unix())
//判断每次请求是否过期(这里设置了60秒)定期生成新的ID
} else if (createtime.(int64) + 60) <(time.Now().Unix()) {
globalSessions.SessionDestroy(w, r)
sess = globalSessions.SessionStart(w, r)
}
参考书籍:《Go Web编程》
京公网安备 11010802041100号