什么是Cookie
Cookie(也叫Web Cookie或?yàn)g覽器Cookie)是服務(wù)器發(fā)送到用戶瀏覽器并保存在本地的一小塊數(shù)據(jù)�,它會(huì)在瀏覽器下次向同一服務(wù)器再發(fā)起請(qǐng)求時(shí)被攜帶并發(fā)送到服務(wù)器上��。通常�,它用于告知服務(wù)端兩個(gè)請(qǐng)求是否來自同一瀏覽器,如保持用戶的登錄狀態(tài)�����。Cookie使基于無狀態(tài)的HTTP協(xié)議記錄穩(wěn)定的狀態(tài)信息成為了可能��。
Cookie主要用于以下三個(gè)方面:
- 會(huì)話狀態(tài)管理(如用戶登錄狀態(tài)��、購物車、游戲分?jǐn)?shù)或其它需要記錄的信息)
- 個(gè)性化設(shè)置(如用戶自定義設(shè)置��、主題等)
- 瀏覽器行為跟蹤(如跟蹤分析用戶行為等)
Go語言如何表示Cookie
在Go的net/http庫中使用http.Cookie結(jié)構(gòu)體表示一個(gè)Cookie數(shù)據(jù)�����,調(diào)用http.SetCookie函數(shù)則會(huì)告訴終端用戶的瀏覽器把給定的http.Cookie值設(shè)置到瀏覽器Cookie里�,類似下面:
func someHandler(w http.ResponseWriter, r *http.Request) {
c := http.Cookie{
Name: "UserName",
Value: "Casey",
}
http.SetCookie(w, c)
}
http.Cookie結(jié)構(gòu)體類型的定義如下:
type Cookie struct {
Name string
Value string
Path string // optional
Domain string // optional
Expires time.Time // optional
RawExpires string // for reading cookies only
// MaxAge=0 means no 'Max-Age' attribute specified.
// MaxAge0 means delete cookie now, equivalently 'Max-Age: 0'
// MaxAge>0 means Max-Age attribute present and given in seconds
MaxAge int
Secure bool
HttpOnly bool
SameSite SameSite
Raw string
Unparsed []string // Raw text of unparsed attribute-value pairs
}
Name和Value字段就不多說了,單獨(dú)針對(duì)幾個(gè)需要解釋的字段進(jìn)行說明���。
Domain
默認(rèn)值是當(dāng)前正在訪問的Host的域名�,假設(shè)我們現(xiàn)在正在訪問的是www.example.com�,如果需要其他子域名也能夠訪問到正在設(shè)置的Cookie值的話,將它設(shè)置為example.com ����。注意�����,只有正在被設(shè)置的Cookie需要被其他子域名的服務(wù)訪問到時(shí)才這么設(shè)置���。
c := Cookie{
......
Domain: "example.com",
}
Path
設(shè)置當(dāng)前的 Cookie 值只有在訪問指定路徑時(shí)才能被服務(wù)器程序讀取�。默認(rèn)為服務(wù)端應(yīng)用程序上的任何路徑,但是您可以使用它限制為特定的子目錄�����。例如:
c := Cookie{
Path: "/app/",
}
Secure
標(biāo)記為Secure 的Cookie只應(yīng)通過被HTTPS協(xié)議加密過的請(qǐng)求發(fā)送給服務(wù)端���。但即便設(shè)置了 Secure 標(biāo)記����,敏感信息也不應(yīng)該通過Cookie傳輸��,因?yàn)镃ookie有其固有的不安全性����,Secure 標(biāo)記也無法提供確實(shí)的安全保障。從 Chrome 52 和 Firefox 52 開始���,不安全的站點(diǎn)(http:)無法使用Cookie的 Secure 標(biāo)記����。
HttpOnly
為避免跨域腳本 (XSS) 攻擊�,通過JavaScript的API無法訪問帶有 HttpOnly 標(biāo)記的Cookie,它們只應(yīng)該發(fā)送給服務(wù)端���。如果包含服務(wù)端Session 信息的Cookie 不想被客戶端JavaScript 腳本調(diào)用�����,那么就應(yīng)該為其設(shè)置 HttpOnly 標(biāo)記�����。
安全地傳輸Cookie
接下來我們探討兩種安全傳輸Cookie的方法
對(duì)Cookie數(shù)據(jù)進(jìn)行數(shù)字簽名
對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名是在數(shù)據(jù)上添加“簽名”的行為�����,以便可以驗(yàn)證其真實(shí)性��。不需要對(duì)數(shù)據(jù)進(jìn)行加密或屏蔽�。
簽名的工作方式是通過散列-我們對(duì)數(shù)據(jù)進(jìn)行散列,然后將數(shù)據(jù)與數(shù)據(jù)散列一起存儲(chǔ)在Cookie中�����。然后����,當(dāng)用戶將Cookie發(fā)送給我們時(shí)��,我們?cè)俅螌?duì)數(shù)據(jù)進(jìn)行哈希處理,并驗(yàn)證其是否與我們創(chuàng)建的原始哈希匹配�����。
我們不希望用戶也用篡改后的數(shù)據(jù)創(chuàng)建新的哈希��,因此經(jīng)常會(huì)看到使用HMAC之類的哈希算法�,以便可以使用密鑰對(duì)數(shù)據(jù)進(jìn)行哈希。這樣可以防止最終用戶同時(shí)編輯數(shù)據(jù)和數(shù)字簽名(哈希)���。
JWT也是使用的這種數(shù)字簽名的方式進(jìn)行傳輸?shù)摹?/p>
上面的數(shù)據(jù)簽名過程并不需要我們自己去實(shí)現(xiàn)����,我們可以在Go中使用gorilla/securecookie的程序包來完成此操作�,在該程序包中,你可以在創(chuàng)建SecureCookie時(shí)為其提供哈希密鑰�,然后使用該對(duì)象來保護(hù)你的Cookie。
對(duì)Cookie數(shù)據(jù)進(jìn)行簽名:
//var s = securecookie.New(hashKey, blockKey)
var hashKey = securecookie.GenerateRandomKey(64)
var s = securecookie.New(hashKey, nil)
func SetCookieHandler(w http.ResponseWriter, r *http.Request) {
encoded, err := s.Encode("cookie-name", "cookie-value")
if err == nil {
cookie := http.Cookie{
Name: "cookie-name",
Value: encoded,
Path: "/",
}
http.SetCookie(w, cookie)
fmt.Fprintln(w, encoded)
}
解析被簽名的 Cookie:
func ReadCookieHandler(w http.ResponseWriter, r *http.Request) {
if cookie, err := r.Cookie("cookie-name"); err == nil {
var value string
if err = s.Decode("cookie-name", cookie.Value, value); err == nil {
fmt.Fprintln(w, value)
}
}
}
注意這里的Cookie數(shù)據(jù)未加密�����,僅僅是被編碼了����,任何人都可以把Cookie數(shù)據(jù)解碼回來���。
加密Cookie 數(shù)據(jù)
每當(dāng)將數(shù)據(jù)存儲(chǔ)在Cookie中時(shí),請(qǐng)始終盡量減少存儲(chǔ)在Cookie中的敏感數(shù)據(jù)量�。不要存儲(chǔ)用戶密碼之類的東西,并確保任何編碼數(shù)據(jù)也沒有此信息�����。在某些情況下�����,開發(fā)人員在不知不覺中將敏感數(shù)據(jù)存儲(chǔ)在Cookie或JWT中����,因?yàn)樗鼈兪莃ase64編碼的,但實(shí)際上任何人都可以解碼該數(shù)據(jù)����。它已編碼,未加密�。
這是一個(gè)很大的錯(cuò)誤,因此��,如果你擔(dān)心意外存儲(chǔ)敏感內(nèi)容�,建議 你使用gorilla/securecookie之類的軟件包。
之前我們討論了如何將其用于對(duì)Cookie進(jìn)行數(shù)字簽名��,但是securecookie也可以用于加密和解密Cookie數(shù)據(jù)�,以使其無法輕松解碼和讀取。
要使用該軟件包加密Cookie����,只需在創(chuàng)建SecureCookie實(shí)例時(shí)傳入一個(gè)blockKey即可。
將上面簽名Cookie的代碼片段進(jìn)行一些小改動(dòng)�,其他地方完全不用動(dòng),securecookie包會(huì)幫助我們進(jìn)行Cookie的加密和解密:
var hashKey = securecookie.GenerateRandomKey(64)
var blockKey = securecookie.GenerateRandomKey(32)
var s = securecookie.New(hashKey, blockKey)
總結(jié)
今天的文章除了闡述如何使用Go語言安全地傳輸Cookie數(shù)據(jù)外��,再次格外強(qiáng)調(diào)一遍�,編碼和加密的不同,從數(shù)據(jù)可讀性上看�,兩者差不多,但本質(zhì)上是完全不一樣的:
- 編碼使用公開可用的方案將數(shù)據(jù)轉(zhuǎn)換為另一種格式�����,以便可以輕松地將其反轉(zhuǎn)��。
- 加密將數(shù)據(jù)轉(zhuǎn)換為另一種格式�����,使得只有特定的個(gè)人才能逆轉(zhuǎn)轉(zhuǎn)換。
我們?cè)谧鰯?shù)據(jù)傳輸時(shí)一定要記住兩者的區(qū)別����,某種意義上,我覺得記住這兩點(diǎn)的區(qū)別比你學(xué)會(huì)今天文章里怎么安全傳輸Cookie更重要����。
到此這篇關(guān)于Go語言中如何確保Cookie數(shù)據(jù)的安全傳輸?shù)奈恼戮徒榻B到這了,更多相關(guān)Go Cookie數(shù)據(jù)傳輸內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
