Cookies 我可以使用会话cookie而不是csrf吗?
我一直在阅读有关csrf和fiddliN的文章,并使用go和gorilla工具包实现它。我还使用gorilla会话,我已经实现了将用户id存储在加密的cookie中 cookie被解密,我使用我编写的一个中间件从数据库中获取用户,其中包含现在未加密的键值存储Cookies 我可以使用会话cookie而不是csrf吗?,cookies,go,session-cookies,csrf,csrf-protection,Cookies,Go,Session Cookies,Csrf,Csrf Protection,我一直在阅读有关csrf和fiddliN的文章,并使用go和gorilla工具包实现它。我还使用gorilla会话,我已经实现了将用户id存储在加密的cookie中 cookie被解密,我使用我编写的一个中间件从数据库中获取用户,其中包含现在未加密的键值存储 如果用户通过oauth2提供程序通过身份验证创建会话cookie,那么如果所有需要保护的视图只允许经过身份验证的用户访问,我是否需要实施csrf保护?假设用户已登录到您的站点,并在同一会话中继续浏览Internet。他们偶然发现了另一个恶意
如果用户通过oauth2提供程序通过身份验证创建会话cookie,那么如果所有需要保护的视图只允许经过身份验证的用户访问,我是否需要实施csrf保护?假设用户已登录到您的站点,并在同一会话中继续浏览Internet。他们偶然发现了另一个恶意针对您的站点,该站点使用HTML或JS,导致用户的浏览器向您站点上的端点发出请求。这将包含用户在您域中的会话cookie,除非受到CSRF令牌的保护,否则将成功。假设用户已登录到您的站点,并在同一会话中继续浏览Internet。他们偶然发现了另一个恶意针对您的站点,该站点使用HTML或JS,导致用户的浏览器向您站点上的端点发出请求。这将包含您域的用户会话cookie,除非受CSRF令牌保护,否则将成功