gorilla/csrfのオリジン間APIの実装とCORSエラー

バックエンドをGoでフロントエンドをReactでアプリを作成しており、CSRF攻撃の対策のためgorilla/csrfを導入しようとしたのですが、CORS関係でエラーが頻発しました。
この記事では、Reactは使わず、goで立ち上げた仮想フロントエンドサーバーにaxiosを入れて解説します。

gorilla/csrfライブラリの公式
https://github.com/gorilla/csrf#javascript-applications

実装結果は下記の通りです。

ファイル構成

.
├── back
│   └── main.go
├── front
│   ├── index.html
│   └── main.go
├── go.mod
└── go.sum

front/main.go

package main

import (
	"log"
	"net/http"
	"text/template"
)

func main() {
	http.HandleFunc("/", func(w http.ResponseWriter, _ *http.Request) {
		t, _ := template.ParseFiles("index.html")
		t.Execute(w, nil)
	})

	log.Fatal(http.ListenAndServe(":3000", nil))
}

front/index.html

<!DOCTYPE html>
<head>
  <script src="https://cdn.jsdelivr.net/npm/axios/dist/axios.min.js"></script>
</head>
<body>
  <button onclick="submit()">Post Data</button>
  <script>
    async function submit() {
      const instance = axios.create({
        baseURL: "http://localhost:8000/api",
        withCredentials: true, // Cookieのやりとりをオンにする
      })

      // トークンを取得
      const response = await instance.get("/token")

      // 受け取ったトークンをX-CSRF-Tokenヘッダーに付ける
      instance.defaults.headers.post["X-CSRF-Token"] = response.headers["x-csrf-token"]
      instance
        .post("/post", new URLSearchParams({say: "The World! Stop time!"}))
        .then(res => alert(res.data))
    }
  </script>  
</body>
</html>

back/main.go

package main

import (
	"fmt"
	"net/http"

	"github.com/gorilla/csrf"
	"github.com/gorilla/mux"
)

func main() {
	r := mux.NewRouter()
	csrfMiddleware := csrf.Protect([]byte("32-byte-long-auth-key"))

	api := r.PathPrefix("/api").Subrouter()
	api.Use(csrfMiddleware)
	api.HandleFunc("/token", token).Methods(http.MethodGet)
	api.HandleFunc("/post", post).Methods(http.MethodOptions) // プリフライトを受け付ける
	api.HandleFunc("/post", post).Methods(http.MethodPost)

	http.ListenAndServe(":8000", r)
}

func token(w http.ResponseWriter, r *http.Request) {
	// オリジン間リソース共有と言ったらこれが無いと始まらないよね
	w.Header().Set("Access-Control-Allow-Origin", "http://localhost:3000")
	// X-CSRF-Tokenをフロント側で受け取れるようにする
	w.Header().Set("Access-Control-Expose-Headers", "X-CSRF-Token")
	// フロント側のブラウザにクッキーがセットされるようにする
	w.Header().Set("Access-Control-Allow-Credentials", "true")
	// トークンをセット
	w.Header().Set("X-CSRF-Token", csrf.Token(r))
}

func post(w http.ResponseWriter, r *http.Request) {
	// オリジン間リソース共有と言ったらこれが無いと始まらないよね
	w.Header().Set("Access-Control-Allow-Origin", "http://localhost:3000")
	// 受け入れるヘッダーを指定。特にX-CSRF-Tokenは忘れずに。
	w.Header().Set("Access-Control-Allow-Headers", "Content-Type, X-CSRF-Token")
	// プリフライトのときにPOSTメソッド許可を返す。
	w.Header().Set("Access-Control-Allow-Methods", "POST")
	// Cookieを受け入れる。
	w.Header().Set("Access-Control-Allow-Credentials", "true")

	fmt.Fprint(w, r.FormValue("say"))
}

動作確認

zsh

$ go run front/main.go
$ go run back/main.go

http://local:3000
をブラウザで開いて、ボタン押してコンソールエラーが無ければ、OKです。

以上です。