Проблема с настройкой токена CSRF при отправке твита из веб-приложения Golang Buffalo

У меня возникли проблемы с веб-приложением Go Buffalo, которое я пытаюсь создать. В основном у меня есть стандартная форма на внешнем интерфейсе, при нажатии на которую предполагается отправить твит в учетную запись Twitter пользователя. При этом я получаю «500: CSRF не найден». Я использую платформу Go Buffalo для веб-приложения и go-twitter для обработки API Twitter.

У меня практически нет опыта работы с CSRF, поэтому я надеялся, что кто-нибудь поможет мне в этом конкретном случае.

Твит.HTML:

<h3>Tweet tweet!</h3>
<form action="/tweet" method="POST">
    <div class="form-group">
        <label for="tweet">Your tweet:</label>
        <input type="text" name="tweet" class="form-control" id="tweet" placeholder="Tweet body" 
        value="">
    </div>
    <button type="submit" class="btn btn-primary">Send</button>
</form>

Маршрутизатор:

app.POST("/tweet", SendHandler)

Tweet.go (содержит функцию SendHandler):

package actions

import (
    "fmt"
    "log"
    "os"

    "twitapp/twitter"

    "github.com/gobuffalo/buffalo"
)

var creds = twitter.Credentials{
    AccessToken:       os.Getenv("ACCESS_TOKEN"),
    AccessTokenSecret: os.Getenv("ACCESS_TOKEN_SECRET"),
    APIKey:            os.Getenv("API_KEY"),
    APISecret:         os.Getenv("API_SECRET"),
}

type TweetForm struct {
    TweetBody string
}

// TweetHandler is the handler for the Tweet page
func TweetHandler(c buffalo.Context) error {
    return c.Render(200, r.HTML("tweet.html"))
}

//SendHandler Function used by tweet.html to send the tweet/
//Takes in variables from twitter/server.go
func SendHandler(c buffalo.Context) error {

    var form TweetForm
    body := form.TweetBody

    fmt.Printf("%+v\n", creds)

    //Gets the client from the twitter package
    client, err := twitter.GetClient(&creds)
    if err != nil {
        log.Println("Error getting Twitter Client")
        log.Println(err)
    }

    //Sending the actual tweet. Body from the form
    tweet, resp, err := client.Statuses.Update(body, nil)
    if err != nil {
        log.Println(err)
    }
    log.Printf("%+v\n", resp)
    log.Printf("%+v\n", tweet)
    return c.Redirect(302, "/tweet/confirm")

}

Существует также функция GetClient, которая вызывается из функции SendHandler, но я не могу представить, что проблема в ней, поскольку это стандартный код, который настраивает клиент Twitter для вызова. Оцените любую помощь/указание в правильном направлении. У меня недостаточно знаний о CSRF, чтобы применить его к этому на данный момент.


go csrf buffalo
person JamWill    schedule 12.04.2019    source источник

Ответы (2)


arrow_upward
1
arrow_downward

CSRF — это тип атаки, от которой Buffalo пытается вас защитить.

Для этого он использует промежуточное ПО CSRF, которое проверяет каждый запрос, который может изменить ваши данные (например, POST, PUT, DELETE и т. д.) и ищет конкретный токен. В вашем случае использования Buffalo ожидает, что вы отправите поле ввода с именем «authenticity_token» со значением, которое промежуточное ПО CSRF поместило в контекст. Вы можете найти это значение в том же ключе «authenticity_token» в контексте.

Другим решением является использование вспомогательной библиотеки тегов (https://github.com/gobuffalo/tags). который генерирует для вас этот ожидаемый ввод: https://github.com/gobuffalo/tags/wiki/Form

person Stanislas Michalak    schedule 12.04.2019
comment
Я использовал это вместо использования фреймворка: github.com/justinas/nosurf - person ; 12.04.2019
comment
Это было полезно, спасибо. Оказывается, мне пришлось включить одну строку кода в мою форму, чтобы включить помощника CSRF. - person JamWill; 14.04.2019

arrow_upward
0
arrow_downward

После просмотра документов GoBuffalo и, в частности, ЭТА часть страницы форм. Все, что мне нужно было сделать, это добавить эту строку кода в мою форму (tweet.html) для обработки маркера подлинности.

<input name="authenticity_token" type="hidden" value="<%= authenticity_token %>">
person JamWill    schedule 14.04.2019