ASP.NET MVC與CSRF(跨站腳本)攻擊

来源:http://www.cnblogs.com/seanshidev/archive/2017/08/17/7384301.html
-Advertisement-
Play Games

CSRF 一 何為CSRF CSRF(Cross-site request forgery跨站請求偽造,也被稱成為“one click attack”或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。需要註意的是,CSRF與XSS的區別,CSRF是其他網站進行 ...


CSRF

一 何為CSRF

CSRF(Cross-site request forgery跨站請求偽造,也被稱成為“one click attack”或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。需要註意的是,CSRF與XSS的區別,CSRF是其他網站進行對你的網站的攻擊。

關於CSRF的詳細信息請看:https://baike.baidu.com/item/CSRF/2735433

 

二 CSRF的危害

對CSRF進行簡單瞭解後,我們先來看看CSRF攻擊受害者需要幾步。

受害者必須依次完成兩個步驟:

  1.登錄受信任網站A,併在本地生成Cookie。

  2.在不登出A的情況下,訪問危險網站B。

此時危險網站B擁有受害者在信任網站A的登錄驗證cookie,假設Cookie沒有失效或者過期,那麼危險網站B就可以發起假冒的請求,來獲取受害者在信任網站A的信息或者在受害者不知情的情況下,進行資金轉移等。

 

三 MVC是如何防止CSRF的

MVC框架主要通過在form內添加@Html.AntiForgeryToken()和在action上添加 [ValidateAntiForgeryToken]進行防止。

具體代碼如下:

1. 在cshtml頁面加上 @Html.AntiForgeryToken()

<section id="loginForm">
@using (Html.BeginForm("Login", "Account", new { ReturnUrl = ViewBag.ReturnUrl }, FormMethod.Post, new { @class = "form-horizontal", role = "form" }))
{
@Html.AntiForgeryToken()
<h4>使用本地帳戶登錄。</h4>
<hr />
@Html.ValidationSummary(true, "", new { @class = "text-danger" })
<div class="form-group">
@Html.LabelFor(m => m.Email, new { @class = "col-md-2 control-label" })
<div class="col-md-10">
@Html.TextBoxFor(m => m.Email, new { @class = "form-control" })
@Html.ValidationMessageFor(m => m.Email, "", new { @class = "text-danger" })
</div>
</div>
<div class="form-group">
@Html.LabelFor(m => m.Password, new { @class = "col-md-2 control-label" })
<div class="col-md-10">
@Html.PasswordFor(m => m.Password, new { @class = "form-control" })
@Html.ValidationMessageFor(m => m.Password, "", new { @class = "text-danger" })
</div>
</div>
<div class="form-group">
<div class="col-md-offset-2 col-md-10">
<div class="checkbox">
@Html.CheckBoxFor(m => m.RememberMe)
@Html.LabelFor(m => m.RememberMe)
</div>
</div>
</div>
<div class="form-group">
<div class="col-md-offset-2 col-md-10">
<input type="submit" value="登錄" class="btn btn-default" />
</div>
</div>
<p>
@Html.ActionLink("註冊為新用戶", "Register")
</p>
@* 為密碼重置功能啟用帳戶確認後,請啟用此項一次
<p>
@Html.ActionLink("Forgot your password?", "ForgotPassword")
</p>*@
}
</section>

2. 在相應的action方法上添加[ValidateAntiForgeryToken]

 

//
// POST: /Account/Login
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (ModelState.IsValid)
{
var user = await UserManager.FindAsync(model.Email, model.Password);
if (user != null)
{
await SignInAsync(user, model.RememberMe);
return RedirectToLocal(returnUrl);
}
else
{
ModelState.AddModelError("", "用戶名或密碼無效。");
}
}

// 如果我們進行到這一步時某個地方出錯,則重新顯示表單
return View(model);
}

 

3.MVC在預防CSRF上的原理

 @Html.AntiForgeryToken()方法會在瀏覽器上做兩件事:

  1. 頁面上加上一個標簽<input name="__RequestVerificationToken" type="hidden" value="密文A" />

  2. 在瀏覽器上生成一個名為__RequestVerificationToken的Cookie,值為“密文B”

form表單提交時,會將頁面上的密文A和瀏覽器的密文B一起提交給伺服器端,伺服器端分別對密文A和密文B進行解密,比對密文A和密文B解密後的明文字元串是否相同,如果相同,則驗證通過。

那麼密文A和密文B是從何而來呢,其實是上面的@Html.AntiForgeryToken()方法隨機生成了一串明文,然後再對明文加密放在頁面和cookie內,但是加密出來的密文不同。密文A每次刷新都會更新成不同的密文,但是一個瀏覽器進程內,COOKIE的密文好像不變(自己在firefox內試了幾次,有興趣的同學可以自己嘗試一下)

四 AJAX請求如何防止CSRF

上面說了MVC框架如何防止CSRF的,但是只限於FORM表單提交,那麼問題來了,在一般ajax請求時,沒有form表單提交,這個時候該如何防止CSRF呢?網路上有很多不錯的答案。我在寫該篇隨筆的時候也借鑒了很多前輩的方法。

下麵介紹我的方法:

 

1. 在全局共用頁面,添加密文生成代碼:

@using (Html.BeginForm(null, null, FormMethod.Post, new { id = "__AjaxAntiForgeryForm" }))
{
@Html.AntiForgeryToken()
}

2. 收緊ajax請求方法入口,寫擴展ajax方法避免重覆工作,一定要註意黃色標記

$.extend({
  z_ajax: function (request) {
      var form = $('#__AjaxAntiForgeryForm');
      var antiForgery = $("input[name='__RequestVerificationToken']",form).val();
      var data = $.extend({ __RequestVerificationToken: antiForgery }, request.data);
      request = $.extend({
      type: "POST",
      dataType: "json",
      contentType: 'application/x-www-form-urlencoded; charset=utf-8',
      }, request);
      request.data = data;

  $.ajax(request);
}

3. 在需要的POST請求上,添加[ValidateAntiForgeryToken]

[HttpPost]
[ValidateAntiForgeryToken]
public JsonResult Test(string testString)
{
  var trustedString = Encoder.HtmlEncode(testString);
  return Json(trustedString);
}

4. 實現具體的ajax請求,該請求會自動將密文帶到服務端,由服務端的特性驗證

$(function () {
  $("#test").click(function ()
  {
    $.z_ajax(
    {
      url: "/Home/Test",
      data: {testString:'333333'},
      error: function (request, textStatus, errorThrown) {
        console.log(request, textStatus, errorThrown);
      },
      success: function (response)
      {
        alert(123);
      }
    });
  })
})

 

經過以上的講解,大家應該對MVC 防止CSRF有了一定的認識。

正如上面所說,在編寫這篇隨筆的時候,參考了很多前輩的思路和結晶。在這裡就不一一列舉了,如果有什麼問題,歡迎大家隨時反饋。

以上案例使用VS2013自動生成的MVC5站點作為解析。

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 關於鏈接資料庫報錯: ERROR 1135 (HY000): Can't create a new thread (errno 11); if you are not out of available memory, you can consult the manual for a possible ...
  • 一、概述 w:向前移動一個詞,標點符號同詞。 b:向後移動一個詞,標點符號同詞。 W:向前移動一個詞,忽略標點符號。 B:向後移動一個詞,忽略標點符號。 二、示例 初始狀態(註意:tomato與apricot前各有1個空格) apple,banana,pear; tomato,patato; apr ...
  • 大家好,這次更新主要是去除一些無關的功能,界面做了很大的調整,以前都是自己寫的 UI ,最近也引入了 WPF-UI ,挺不錯的,特此表示感謝,也希望大家會喜歡,別的也就不多說了,本軟體以實用性為主,採用MVVM模式,小巧、使用方便。 具體功能與更新如下: 計劃任務:本軟體由m.sh.lin0328@ ...
  • 查看埠號 終端輸入:sudo lsof -i tcp:port 將port換成被占用的埠(如:8086、9998) 將會出現占用埠的進程信息。 殺死占用埠的PID進程 找到進程的PID,使用kill命令:kill PID(進程的PID,如2044),殺死對應的進程 時間:2017-08-15 ...
  • 【視頻專輯】酷炫界面開發神器DevExpress WPF視頻教程(36集全) http://www.devexpresscn.com/post/620.html ...
  • DataTable dt_temp = dt.AsEnumerable().Cast<DataRow>().GroupBy(p => p.Field<string>("table_names_en")).Select(p => p.FirstOrDefault()).CopyToDataTable( ...
  • NullDatabaseInitializer<TContext>使用此初始值設定項將禁用給定上下文類型的資料庫初始化,等同與傳遞null,所以上面兩種寫法等同。 初始化 MigrateDatabaseToLatestVersion 類的新實例,該類指定是否使用觸發初始化的上下文中的連接信息來執行遷 ...
  • 1、直接指定數組元素 int [] arr = {2,4,1,8,4}; 2、只指定數組長度不指定元素值 指定一個長度為5的int型數組 int [] arr = new int[5]; 3、不指定長度 int arr = new int[] {}; 4、指定長度和元素 使用這種方法,數組長度必須和 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...