「Go工具箱」web中想做到cookie值安全?securecookie库的使用和实现原理

最新推荐文章于 2025-10-07 04:41:28 发布
原创 最新推荐文章于 2025-10-07 04:41:28 发布 · 905 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#golang #前端 #安全

本文介绍了Go语言中的securecookie库,用于增强web应用中cookie的安全性。通过编码、加密和hash操作,确保敏感信息的安全。文章详细讲解了securecookie的使用方法、实现原理,包括序列化、加密、base64编码和HMAC的运用,并提到了在beego框架中的应用。

在工作中,主动性不仅体现在像老黄牛一样把本职工作做好,还要主动和领导沟通,承担更多、更重要的任务。 — 吴军 《格局》

大家好,我是渔夫子。「Go学堂」新推出“Go工具箱”系列,意在给大家分享使用go语言编写的、实用的、好玩的工具。

今天给大家推荐的是web应用安全防护方面的另一个包:securecookie。该包给cookie中存储的敏感信息进行编、解码及解密、解密功能,以保证数据的安全。

securecookie小档案

securecookie小档案
star 595 used by -
contributors 19 作者 Gorilla
功能简介 对cookie中存储的敏感信息进行编码、解码以及加密、解密功能,以保证数据不能被伪造。
项目地址 https://github.com/gorilla/securecookie
相关知识 web安全、加密解密、HMAC编码解码、base64编码

一、安装

 go get github.com/gorilla/securecookie

二、使用示例

明文的cookie值输出

我们先来看下未进行编码或未加密的cookie输出是什么样的。本文以beego框架为例,当然在beego中已经实现了安全的cookie输出,稍后再看其具体的实现。这里主要是来说明cookie中未编码的输出和使用securecookie包后cookie的值输出。

package main

import (
	"github.com/beego/beego"
)


func main() {
   
   
	beego.Router("/", &MainController{
   
   })

	beego.RunWithMiddleWares(":8080")
}

type MainController struct {
   
   
	beego.Controller
}

func (this *MainController) Get() {
   
   
	this.Ctx.Output.Cookie("userid", "1234567")
	this.Ctx.Output.Body([]byte("Hello World"))
}

执行go run main.go,然后在浏览器中输入http://localhost:8080/,查看cookie的输出是明文的。如下:
在这里插入图片描述

使用securecookie包对cookie值进行编码

securecookie包的使用也很简单。首先使用securecookie.New函数实例化一个securecookie实例,在实例化的时候需要传入一个32位或64位的hashkey值。然后调用securecookie实例的Encode对明文值进行编码即可。如下示例:

package main

import (
	"github.com/beego/beego"
	"github.com/gorilla/securecookie"
)


func main() {
   
   
	beego.Router("/", &MainController{
   
   })

	beego.RunWithMiddleWares(":8080")
}

type MainController struct {
   
   
	beego.Controller
}

func (this *MainController) Get() {
   
   
	// Hash keys should be at least 32 bytes long
	var hashKey = []byte("keep-it-secret-keep-it-safe-----")
	// 实例化securecookie
	var s = securecookie.New(hashKey, nil)

	name := "userid"
	value := "1234567"

    // 对value进行编码
	encodeValue, _ := s.Encode(name, value)

    // 输出编码后的cookie值
	this.Ctx.Output.Cookie(name, encodeValue)
	this.Ctx.Output.Body([]byte("Hello World")
最低0.47元/天 解锁文章
Golang】关于Gin框架中的CookieSession
景天科技苑
10-25 5万+
在深入探讨CookieSession之前,我们需要了解HTTP协议的无状态特性。简单来说,HTTP是一种无状态协议,即每次请求与响应之间都是独立的,服务器不会记住之前的状态信息。这意味着,当用户从一个页面跳转到另一个页面时,服务器无法自动识别这是同一个用户的请求。为了实现跨请求的数据共享,我们可以使用CookieSession。本文将结合实际案例,详细介绍在Go语言的Gin框架中如何使用CookieSession。
werkzeug contrib.securecookie.SecureCookie
Claroja
07-15 281
class werkzeug.contrib.securecookie.SecureCookie(data=None, secret_key=None, new=True) x = SecureCookie({"foo": 42, "baz": (1, 2, 3)}, "deadbeef") x["foo"] >>> 42 x["baz"] >>> (1, 2, 3) x["blafasel"] = 23 x.should_save >>> True
js的Cookies
01-25
集成了js的Cookies的各种方法,使用起来很方便 很小巧
安全的桌面应用Cookie防护:Nativefier中HttpOnly与Secure标记实战指南
gitblog_00662的博客
10-07 266
你是否知道,即使是桌面应用也可能面临Cookie劫持风险?当你使用Nativefier将网页转换为桌面应用时,默认配置下的Cookie可能正暴露在潜在威胁中。本文将带你通过3个步骤实现HttpOnly与Secure标记的安全配置,彻底堵上这两个常见安全漏洞。读完本文你将获得: - 理解Cookie安全标记的核心防护原理 - 掌握Electron会话对象的Cookie控制方法 - 学会在Native...
cookie setSecure详解
zzhongcy的专栏
03-31 8894
最近项目用检测漏洞 在cas中或其他web开发中,会碰到安全cookie的概念,因为CAS中TGT是存放在安全cookie中的。下面是安全cookie 的理解: Set-Cookiesecure 属性就是处理这方面的情况用的,它表示创建的 cookie 只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以绝对不会被窃听到。 在setSecure(true); 的情况下,只有https才传递到服务器端。http是不会传...
CookieSecure属性
weixin_30549175的博客
12-15 2076
基于安全的考虑,需要给cookie加上SecureHttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。 Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。换句话说,cooki...
Go 语言中增强 Cookie安全
weixin_34232744的博客
09-02 320
原文地址:Securing Cookies in Go 原文作者:Jon Calhoun 译文出自:掘金翻译计划 本文永久链接:github.com/xitu/gold-m… 译者:lsvih 校对者:tmpbook, Yuuoniy 在 Go 语言中增强 Cookie安全性 在我开始学习 Go 语言时已经有一些 Web 开发经验了,但是并没有直接操作 Cookie 的经验。我之前做过...
securecookie:软件包gorillasecurecookie编码解码Go Web应用程序的经过身份验证的(可选)加密的cookie
02-03
securecookie编码解码经过身份验证的(可选)加密的cookie。 无法伪造安全cookie,因为它们的使用HMAC验证。 加密后,恶意人员也无法访问内容。 仍然建议不要将敏感数据存储在cookie中,并建议使用HTTPS...
Go Web安全实践:使用securecookie进行加密Cookie处理
标签信息“go cookie securecookie GoGo”表明了这个软件包主要面向使用Go语言开发Web应用的开发者,特别是需要处理cookie安全性方面的问题。同时,标签中的“securecookie”也强调了这个包的核心功能——提供安全的...
Web认证 】Cookie、Session 与 JWT Token:Web 认证机制的原理实现与对比文章源码
最新发布
11-28
在众多Web认证机制中,Cookie、Session以及JWT(JSON Web Tokens)是三种常见的技术实现方式,它们各自有独特的原理实现方法,同时也有各自的优缺点。 Cookie是一种客户端技术,通常由服务器生成并发送给浏览器,...
菜鸟教程python实例_Python 处理Cookie的菜鸟教程(一)Cookie
weixin_39785081的博客
11-26 544
这篇文章主要为大家详细介绍了Python 处理Cookie的菜鸟教程(一)Cookie,具有一定的参考价,可以用来参考一下。对python这个高级语言感兴趣的小伙伴,下面一起跟随512笔记的小编两巴掌来看看吧!Cookie用于服务器实现会话,用户登录及相关功能时进行状态管理。要在用户浏览器上安装cookie,HTTP服务器向HTTP响应添加类似以下内容的HTTP报头:Set-Cookie:se...
浅析cookiesecure
a7442358的专栏
12-21 1589
浅析cookiesecure
Cookie属性之secure、httponly
weixin_44843710的博客
12-02 3766
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie的属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookiesecure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
cookiesecure属性详解
api_ok的博客
08-03 2381
以本文百度这个为例,设为false的结果就是无论你在哪个协议下的百度页面设cookie,那么两边的百度页面的cookie中都可以看到该字段。当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。也就实现cookie的跨协议传递,但同时就存在了一定几率的被窃听的风险。顾名思义,这个属性就是用来保证cookie安全的。
Go 每日一gorilla/securecookie
darjun的博客
07-24 791
简介cookie 是用于在 Web 客户端(一般是浏览器)服务器之间传输少量数据的一种机制。由服务器生成,发送到客户端保存,客户端后续的每次请求都会将 cookie 带上。cookie ...
golang securecookie加密解密cookie
Haikuotiankong11111的博客
12-24 896
github地址: https://github.com/gorilla/securecookie 1.创建一个securecookie实例 // Hash keys should be at least 32 bytes long var hashKey = []byte("very-secret") // Block keys should be 16 bytes (AES-128) or 32 bytes (AES-256) long. // Shorter keys may weaken the e
Cookies - 简洁易用的前端cookies管理
gitblog_00048的博客
03-17 464
是一个轻量级、简洁易用的前端cookies管理,由开发者 Scott Hamper 创建并维护。它提供了易于使用的API,让您可以轻松地在Web应用程序中处理cookies。 ## 功能特性 - 轻量级:Cookies 非常小巧,只有 2.4 KB 的大小(压缩后仅 1 KB),这使得它可以在各种项目中快速加载。 - 简洁的API:Cookies 提供了简单易懂的 JavaScript A...
Secure Cookie普通Cookie有什么区别?
长风破浪会有时的博客
05-16 307
总的来说,Secure Cookie就像是一个有额外保护的小纸条,它能让我们的个人信息在互联网上传输时更加安全。所以,在需要保护个人信息的重要场合,使用Secure Cookie会是一个更好的选择。首先,我们要知道Cookie是存储在浏览器里的小纸条,它记录了关于我们的一些信息,比如我们访问过的网页、我们的偏好设置等。这样,当我们再次访问网站时,网站就能通过这些小纸条认出我们,并为我们提供更好的服务。现在,让我们来看看Secure Cookie普通Cookie有什么不同。
学习日志_beego_cookie创建获取加密
weixin_45079054的博客
11-04 445
cookie创建 c.Ctx.SetCookie(key,value,time,".asd.com") time:cookie过期的时间 域名在asd.com能够共享cookie 但是基础设置的cookie是无法使用中文的 cookie获取 c.Ctx.GetCookie(key) //根据cookie的key来获取 加密cookie的创建获取 c.SetSecureCookie(secret,key,value,time,".abc.com") 普通的cookie不同的是多一个加密密钥secre
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渔夫子@Go学堂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值