Автор статьи: Якушков Федор

Куки (HTTP Cookies) используются для хранения данных на стороне клиента, например, для аутентификации, управления сессиями или персонализации контента. В языке Go работа с куками реализована через стандартную библиотеку net/http, что делает их использование простым и удобным. В этой статье мы разберем основные операции с куками в Go, а также рассмотрим аспекты их безопасности.

Основные операции с куками в Go

Установка кук

Чтобы установить куку в ответе сервера, нужно использовать заголовок Set-Cookie. В Go для этого используется http.SetCookie():

package main

import (
    "net/http"
)

func setCookieHandler(w http.ResponseWriter, r *http.Request) {
    cookie := &http.Cookie{
        Name:     "session_id",
        Value:    "123456",
        Path:     "/",
        HttpOnly: true, // Доступ только через HTTP, защита от XSS
        Secure:   true, // Только HTTPS
        SameSite: http.SameSiteStrictMode, // Защита от CSRF
    }
    http.SetCookie(w, cookie)
    w.Write([]byte("Cookie set!"))
}

func main() {
    http.HandleFunc("/set-cookie", setCookieHandler)
    http.ListenAndServe(":8080", nil)
}

Этот обработчик устанавливает куку session_id с безопасными параметрами:

  • HttpOnly: true — запретит доступ к куке из JavaScript (защита от XSS-атак).

  • Secure: true — кука будет передаваться только по HTTPS.

  • SameSite: Strict — защита от CSRF-атак.

Чтение кук

Куки передаются в заголовке Cookie и доступны в http.Request через метод r.Cookie():

func getCookieHandler(w http.ResponseWriter, r *http.Request) {
    cookie, err := r.Cookie("session_id")
    if err != nil {
        http.Error(w, "Cookie not found", http.StatusNotFound)
        return
    }
    w.Write([]byte("Cookie value: " + cookie.Value))
}

func main() {
    http.HandleFunc("/get-cookie", getCookieHandler)
    http.ListenAndServe(":8080", nil)
}

Удаление кук

Чтобы удалить куку, нужно установить ее с истекшим сроком:

func deleteCookieHandler(w http.ResponseWriter, r *http.Request) {
    cookie := &http.Cookie{
        Name:   "session_id",
        Value:  "",
        Path:   "/",
        MaxAge: -1, // Удаление куки
    }
    http.SetCookie(w, cookie)
    w.Write([]byte("Cookie deleted!"))
}

Безопасность кук

HttpOnly и Secure

Использование HttpOnly и Secure предотвращает кражу кук через JavaScript (document.cookie) и защищает их от передачи через HTTP.

SameSite и CSRF

Атрибут SameSite в куках позволяет ограничить отправку кук в межсайтовых запросах, что помогает снизить риск CSRF-атак. Однако, важно понимать, что SameSite не является полной защитой от CSRF и должен использоваться в сочетании с CSRF-токенами.

  • SameSite=Lax: Куки отправляются при переходах по безопасным HTTP-методам (GET) и в некоторых других случаях, например, при загрузке изображений.

  • SameSite=Strict: Куки отправляются только при запросах, инициированных с того же домена. Этот режим обеспечивает наиболее сильную защиту от CSRF, но может нарушить удобство использования в некоторых сценариях.

  • SameSite=None: Куки отправляются всегда, независимо от того, откуда был инициирован запрос. Этот режим требует обязательного использования атрибута Secure=true, так как куки передаются только по HTTPS.

Для надежной защиты от CSRF необходимо использовать CSRF-токены. Это случайные значения, которые сервер генерирует и отправляет клиенту. При каждом запросе, изменяющем состояние сервера, клиент должен отправлять этот токен. Сервер проверяет соответствие токена, чтобы убедиться, что запрос был сделан намеренно.

Подпись и шифрование кук

Для защиты содержимого кук можно использовать gorilla/securecookie:

import (
    "encoding/gob"
    "github.com/gorilla/securecookie"
)

var hashKey = []byte("super-secret-key")
var s = securecookie.New(hashKey, nil)

type SessionData struct {
    Username string
}

gob.Register(SessionData{})

func setSignedCookie(w http.ResponseWriter) {
    value := SessionData{Username: "user123"}
    encoded, _ := s.Encode("session", value)
    cookie := &http.Cookie{Name: "session", Value: encoded, Path: "/", HttpOnly: true}
    http.SetCookie(w, cookie)
}

Заключение

Работа с куками в Go требует внимательного отношения к безопасности. Использование атрибутов HttpOnly, Secure и SameSite помогает снизить риск атак, таких как XSS и CSRF. Однако, важно понимать, что SameSite не является полной защитой от CSRF и должен использоваться в сочетании с CSRF-токенами. Для защиты конфиденциальных данных в куках рекомендуется использовать подпись и шифрование.

В зависимости от требований к безопасности и масштабируемости приложения, следует рассмотреть альтернативные методы аутентификации, такие как авторизация через JWT токены или серверные сессии. JWT обеспечивает stateless-аутентификацию и хорошо подходит для микросервисных архитектур, а серверные сессии могут быть предпочтительнее для приложений, требующих более сложного управления состоянием сессии.

Код можно протестировать, запустив сервер на http://localhost:8080 и проверяя установку, получение и удаление кук.