我可以使用會話cookie而不是csrf嗎？

Question

我一直在閱讀關於csrf和fiddliN的內容，使用go和gorilla工具包來實現它。我也正在使用我實施的大猩猩會話來存儲用戶ID在加密的cookie中。

cookie將被解密和我取使用中間件我寫了從現在未加密的key-value存儲數據庫的用戶...

如果用戶通過提供的oauth2從創建認證會話cookie如果所有需要這種保護的視圖只允許authed用戶使用，我是否需要實施csrf保護？

Answer 1

假設用戶已登錄到您的網站，並繼續在同一會話中瀏覽Internet。他們偶然發現另一個惡意攻擊你的站點，用HTML或JS導致用戶的瀏覽器向你的站點上的端點發出請求。這將包含用戶的域的會話cookie，並且除非受CSRF令牌保護，否則會成功。