#63 楼 @astaxie 随带说一下 nginx 之后的 Go 是可以拿到真实 IP 的

#66 楼 @luikore 第一个、看错了，目前默认是 false，确实不开放 https 的设置 第二个、随机时间的做法我觉得确实可以改进一下，但是目前两次随机的时间，两个用户相同是不可能的 第三个、认证这一块目前有一个 pull request，目前还在 review

#67 楼 @luikore 这个是文档吧，谢谢

#65 楼 @hooopo 当然咯，这个需要程序员自己还要处理所有的输出，只是 Go 在这方面已经是最严格的输出，让开发者犯错误

#61 楼 @luikore flash 写成 falsh 就不提了 这个在哪里，我没看到啊，欢迎提啊

#61 楼 @luikore 第一点：https://github.com/astaxie/beego/blob/master/session/session.go#L67 自己看到底有没有 http only

第二点：nanotime 我随机我觉得已经比你所谓的随机字符串好很多了

第三点：看看什么是签名https://github.com/astaxie/beego/blob/master/controller.go#L312

最后欢迎各种挑刺

#60 楼 @hooopo 首先 cookie 是客户端的没错对吧，为了区别 session 现在所有的语言里面是不是都是存在服务器端的？当然我理解你的意思，你的 session 值存在 cookie 里面是不是 cookie 的值就变成 session 的值了。

appA 和 B 的关系就是目前广告嵌入 cookie 的做法，在新浪的站点调用了 XX 的广告，然后 XX 的广告中了 cookie。

至于 XSS 的问题根本就是我上面说的，在 Go 里面很难 XSS，因为默认全部转义

#58 楼 @bhuztez

首先移动设备基本上应用走的是 API 请求方式，就不存在 xsrf 开启的问题，一般都是认证的方式。顺带说一下 API 开发也是目前 Go 做的最好的，用 Go 来写 API 太爽了。

如果是移动设备来操作 web 的话，那变了只能说页面你必须重新刷新了

#16 楼 @iamzhangdabei 非常赞同你的说法

#52 楼 @bhuztez 现在是签名了啊

#51 楼 @bhuztez 那么我就认为你的请求是不对了，没有任何的逻辑问题

#49 楼 @hooopo 看看我对于 session 和 cookie 的理解：https://github.com/astaxie/build-web-application-with-golang/blob/master/ebook/06.1.md

还有 csrf 的核心手段是不可预测原则没错，IP 变化的请求拦截当然是基于不同的 IP 伪造请求拦截，我觉得这个设计没有任何问题啊。随机算法比较容易破解，为什么采用 sha1 主要是防止破解，md5 就可以反破解

#47 楼 @bhuztez 想抓 Go 里面的 XSS 还是很难写出这样的代码，因为 Go 的默认模板引擎就是全部 XSS 过滤的

#42 楼 @gihnius 但是我觉得超时了就应该 post 不成功

#41 楼 @bhuztez 第一 在 Go 里面 session 是尽量不提倡的，你看 Go 里面默认是不带有任何的 session 模块的，第二 目前放在 cookie 里面的 csrf，我们做这个的目的是防止跨站攻击，javascript 不能读取跨站的 cookie 吧。

#40 楼 @reus 其实最新的是这个http://togototo.wordpress.com/2013/08/23/benchmarks-round-two-parallel-go-rust-d-scala-and-nimrod/

#3 楼 @gihnius token 你应该设置一个超时时间啊，不然 csrf 就没啥意思了

#37 楼 @rasefon 恩，还是很有趣的，欢迎多交流

cookie 里面不一定要放 sessionID 的，在 beego 的实现里面根本就没有 session 的概念在里面，所以你的理解是完全错误的

#34 楼 @bhuztez 所以我上面说了啊，你确信 CSRF 是放 session 里面的？你没理解 beego 的实现方式啊。然后你在看看http://en.wikipedia.org/wiki/Cross-site_request_forgery#Prevention 如何防御 csrf

#32 楼 @bhuztez 你好像没搞清楚什么是 session，什么是 cookie 啊

#30 楼 @bhuztez 你确信 CSRF 用了 session？是不是你没理解清楚 beego 里面怎么实现 csrf 的啊

#28 楼 @bhuztez 第一，你的 IP 变了那么 csrf 肯定要变，不然不算安全，第二，c.Ctx.Request.RemoteAddr 这个获取的是客户端请求 IP，不存在两个 IP，难道 tcp 协议变了？

楼上各位，Go 其实除了性能之外，还有很多别的优势，我在这个里面总结了一些，很多人也补充了一些，希望对大家了解 Go 有帮助：http://www.zhihu.com/question/21409296

#14 楼 @hooopo 你指的是https://github.com/astaxie/beego/pull/215/files#L1L34 这样的方法吧，这个目前还在考虑中，如何更好的加入进来。第二我不觉得通过 sha1 加密就是用了牛刀了。

#15 楼 @bhuztez 欢迎提出宝贵意见

#24 楼 @rasefon BenchmarksGame 不是为了测试不同语言的最优性能，而且为了测试不同语言最自然状态下编写程序的性能。比如，binary-trees 测试就是禁止自己定制专有的缓冲池的，而 C 语言的版本则可以随意使用 各种优化手段 (基于 apr 和缓冲池和 openmp 的并行优化).所以出现了如上的结果，你看看 Go 自带的测试用例的测试结果，相差就是在 10% 之内：

$GOROOT/test/bench/shootout/timing.sh
fasta -n 25000000
    gcc -m64 -O2 fasta.c              0.86u 0.00s 0.87r
    gc fasta                          0.85u 0.00s 0.86r
    gc_B fasta                        0.83u 0.00s 0.83r

reverse-complement < output-of-fasta-25000000
    gcc -m64 -O2 reverse-complement.c 0.45u 0.05s 0.50r
    gc reverse-complement             0.60u 0.05s 0.65r
    gc_B reverse-complement           0.55u 0.04s 0.59r

nbody -n 50000000
    gcc -m64 -O2 nbody.c -lm          5.51u 0.00s 5.52r
    gc nbody                          7.16u 0.00s 7.18r
    gc_B nbody                        7.12u 0.00s 7.14r

binary-tree 15 # too slow to use 20
    gcc -m64 -O2 binary-tree.c -lm    0.31u 0.00s 0.31r
    gc binary-tree                    1.08u 0.00s 1.07r
    gc binary-tree-freelist           0.15u 0.00s 0.15r

fannkuch 12
    gcc -m64 -O2 fannkuch.c           26.45u 0.00s 26.54r
    gc fannkuch                       35.99u 0.00s 36.08r
    gc fannkuch-parallel              73.40u 0.00s 18.58r
    gc_B fannkuch                     25.18u 0.00s 25.25r

regex-dna 100000
    gcc -m64 -O2 regex-dna.c -lpcre   0.25u 0.00s 0.26r
    gc regex-dna                      1.65u 0.00s 1.66r
    gc regex-dna-parallel             1.72u 0.01s 0.67r
    gc_B regex-dna                    1.64u 0.00s 1.65r

spectral-norm 5500
    gcc -m64 -O2 spectral-norm.c -lm  9.63u 0.00s 9.66r
    gc spectral-norm                  9.63u 0.00s 9.66r
    gc_B spectral-norm                9.63u 0.00s 9.66r

k-nucleotide 1000000
    gcc -O2 k-nucleotide.c -I/usr/include/glib-2.0 -I/usr/lib64/glib-2.0/include -lglib-2.0  2.62u 0.00s 2.63r
    gc k-nucleotide                   2.69u 0.01s 2.71r
    gc k-nucleotide-parallel          3.02u 0.00s 0.97r
    gc_B k-nucleotide                 2.66u 0.01s 2.68r

mandelbrot 16000
    gcc -m64 -O2 mandelbrot.c        20.95u 0.00s 21.01r
    gc mandelbrot                    23.73u 0.00s 23.79r
    gc_B mandelbrot                  23.72u 0.00s 23.79r

meteor 2098
    gcc -m64 -O2 meteor-contest.c     0.05u 0.00s 0.05r
    gc meteor-contest                 0.06u 0.00s 0.07r
    gc_B meteor-contest               0.06u 0.00s 0.06r

pidigits 10000
    gcc -m64 -O2 pidigits.c -lgmp     0.77u 0.00s 0.77r
    gc pidigits                       1.45u 0.01s 1.44r
    gc_B pidigits                     1.45u 0.01s 1.43r

threadring 50000000
    gcc -m64 -O2 threadring.c -lpthread     12.05u 261.20s 216.36r
    gc threadring                           6.61u 0.00s 6.63r

chameneos 6000000
    gcc -m64 -O2 chameneosredux.c -lpthread 4.04u 21.08s 4.20r
    gc chameneosredux                       4.97u 0.00s 4.99r

#22 楼 @rasefon 你看了对比的版本了吗？

#17 楼 @luikore 第一，session 不是保存在服务器端那保存在哪里啊？session 和 cookie 的区别你了解吗？ 第二、token 的这个产生方式我不觉得存在可预测的隐患，你有什么更好的建议吗？

第三，你别拿两年前的对比出来唬人啊，看得我都惊呆了，现在你可以再用 clang 和 Go 对比一下，这个是别人的对比情况：http://my.oschina.net/chai2010/blog/130859

#1 楼 @luikore 看过 beego 的 csrf 源码吗？签名没有？C 的比 Go 的快 10 倍，呵呵，上对比代码