From b8577f7aff8ac19387abab2709a2e2ac73d123c3 Mon Sep 17 00:00:00 2001
From: vCaesar <veni0@qq.com>
Date: Sun, 18 Dec 2016 15:53:35 +0800
Subject: [PATCH] Add 0.6.4.md syntax highlighting

---
 zh/06.4.md | 12 ++++++++----
 1 file changed, 8 insertions(+), 4 deletions(-)

diff --git a/zh/06.4.md b/zh/06.4.md
index 6216c7a6..db3b5257 100644
--- a/zh/06.4.md
+++ b/zh/06.4.md
@@ -4,6 +4,7 @@ session劫持是一种广泛存在的比较严重的安全威胁，在session技
 本节将通过一个实例来演示会话劫持，希望通过这个实例，能让读者更好地理解session的本质。
 ## session劫持过程
 我们写了如下的代码来展示一个count计数器：
+```Go
 
 	func count(w http.ResponseWriter, r *http.Request) {
 		sess := globalSessions.SessionStart(w, r)
@@ -18,11 +19,12 @@ session劫持是一种广泛存在的比较严重的安全威胁，在session技
 		t.Execute(w, sess.Get("countnum"))
 	}
 
-
+```
 count.gtpl的代码如下所示：
+```Go
 
 	Hi. Now count:{{.}}
-
+```
 然后我们在浏览器里面刷新可以看到如下内容：
 
 ![](images/6.4.hijack.png?raw=true)
@@ -56,6 +58,7 @@ count.gtpl的代码如下所示：
 其中一个解决方案就是sessionID的值只允许cookie设置，而不是通过URL重置方式设置，同时设置cookie的httponly为true,这个属性是设置是否可通过客户端脚本访问这个设置的cookie，第一这个可以防止这个cookie被XSS读取从而引起session劫持，第二cookie设置不会像URL重置方式那么容易获取sessionID。
 
 第二步就是在每个请求里面加上token，实现类似前面章节里面讲的防止form重复递交类似的功能，我们在每个请求里面加上一个隐藏的token，然后每次验证这个token，从而保证用户的请求都是唯一性。
+```Go
 
 	h := md5.New()
 	salt:="astaxie%^7&8888"
@@ -66,9 +69,10 @@ count.gtpl的代码如下所示：
 	}
 	sess.Set("token",token)
 
-
+```
 ### 间隔生成新的SID
 还有一个解决方案就是，我们给session额外设置一个创建时间的值，一旦过了一定的时间，我们销毁这个sessionID，重新生成新的session，这样可以一定程度上防止session劫持的问题。
+```Go
 
 	createtime := sess.Get("createtime")
 	if createtime == nil {
@@ -77,7 +81,7 @@ count.gtpl的代码如下所示：
 		globalSessions.SessionDestroy(w, r)
 		sess = globalSessions.SessionStart(w, r)
 	}
-
+```
 session启动后，我们设置了一个值，用于记录生成sessionID的时间。通过判断每次请求是否过期(这里设置了60秒)定期生成新的ID，这样使得攻击者获取有效sessionID的机会大大降低。
 
 上面两个手段的组合可以在实践中消除session劫持的风险，一方面，	由于sessionID频繁改变，使攻击者难有机会获取有效的sessionID；另一方面，因为sessionID只能在cookie中传递，然后设置了httponly，所以基于URL攻击的可能性为零，同时被XSS获取sessionID也不可能。最后，由于我们还设置了MaxAge=0，这样就相当于session cookie不会留在浏览器的历史记录里面。