.NET Core實戰專案之CMS 第十四章 開發篇-防止跨站請求偽造
透過 ASP.NET Core,開發者可輕鬆配置和管理其應用的安全性。 ASP.NET Core 中包含管理身份驗證、授權、資料保護、SSL 強制、應用機密、請求防偽保護及 CORS 管理等等安全方面的處理。 透過這些安全功能,可以生成安全可靠的 ASP.NET Core 應用。而我們這一章就來說道說道如何在ASP.NET Core中處理“跨站請求偽造(XSRF/CSRF)攻擊”的,希望對大家有所幫助!
寫在前面
上篇文章發出來後很多人就去GitHub上下載了原始碼,然後就來問我說為什麼登入功能都沒有啊?還有很多選單點著沒反應。這裡統一說明一下,是因為我的程式碼是跟著部落格的進度在逐步完善的,等這個系列寫完的時候才代表這個CMS系統的完成!因此,現在這個CMS系統還是一個半成品,不過我會盡快來完成的!廢話不多說,下面我們先介紹一下跨站請求偽造(XSRF/CSRF)攻擊”的概念,然後再來說到一下ASP.NET Core中是如何進行處理的吧!
什麼是跨站請求偽造(XSRF/CSRF)
在繼續之前如果不給你講一下什麼是跨站請求偽造(XSRF/CSRF)的話可能你會很懵逼,我為什麼要了解這個,不處理又有什麼問題呢?
CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站指令碼(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利用站點內的信任使用者,而CSRF則透過偽裝來自受信任使用者的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防範的資源也相當稀少)和難以防範,所以被認為比XSS更具危險性。
CSRF在 2007 年的時候曾被列為網際網路 20 大安全隱患之一。其他安全隱患,比如 SQL 指令碼注入,跨站域指令碼攻擊等在近年來已經逐漸為眾人熟知,很多網站也都針對他們進行了防禦。然而,對於大多數人來說,CSRF 卻依然是一個陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在著 CSRF 漏洞,從而被駭客攻擊而使 Gmail 的使用者造成巨大的損失。
跨站請求偽造(XSRF/CSRF)的場景
這裡為了加深大家對“跨站請求偽造(XSRF/CSRF)”的理解可以看如下所示的圖:
如上圖所示:
使用者瀏覽位於目標伺服器 A 的網站。並透過登入驗證。
獲取到 cookie_session_id,儲存到瀏覽器 cookie 中。
在未登出伺服器 A ,並在 session_id 失效前使用者瀏覽位於 hacked server B 上的網站。
server B 網站中的
<img src = "http://www.cnblog.com/yilezhu?creditAccount=1001160141&transferAmount=1000">
嵌入資源起了作用,迫使使用者訪問目標伺服器 A由於使用者未登出伺服器 A 並且 sessionId 未失效,請求透過驗證,非法請求被執行。
試想一下如果這個非法請求是一個轉賬的操作會有多恐怖!
跨站請求偽造(XSRF/CSRF)怎麼處理?
既然跨站請求偽造(XSRF/CSRF)有這麼大的危害,那麼我們如何在ASP.NET Core中進行處理呢?
其實說白了CSRF能夠成功也是因為同一個瀏覽器會共享Cookies,也就是說,透過許可權認證和驗證是無法防止CSRF的。那麼應該怎樣防止CSRF呢?其實防止CSRF的方法很簡單,只要確保請求是自己的站點發出的就可以了。那怎麼確保請求是發自於自己的站點呢?ASP.NET Core中是以Token的形式來判斷請求。我們需要在我們的頁面生成一個Token,發請求的時候把Token帶上。處理請求的時候需要驗證Cookies+Token。這樣就可以有效的進行驗證了!
其實說到這裡可能有部分童鞋已經想到了,@Html.AntiForgeryToken()
沒錯就是它,在.NET Core中起著防止 跨站請求偽造(XSRF/CSRF)的作用,想必大夥都會使用!下面我們再一起看看ASP.NET Core的使用方式吧。
ASP.NET Core MVC是如何處理跨站請求偽造(XSRF/CSRF)的?
警告:
ASP.NET Core使用 來實現防請求偽造。如果在伺服器叢集中需配置 ASP.NET Core Data Protection,有關詳細資訊,請參閱 。
在ASP.NET Core MVC 2.0或更高版本中,為HTML表單元素注入防偽造令牌。例如,Razor檔案中的以下標記將自動生成防偽令牌:
<form method="post"> ··· </form>
類似地, 預設情況下生成防偽令牌,當然窗體的方法不是 GET。(你懂的)
當Html表單包含method="post"
並且下麵條件之一 成立是會自動生成防偽令牌。
action屬性為空(
action=""
) 或者未提供action屬性(
<form method="post">
)。
當然您也可以透過以下方式禁用自動生成HTML表單元素的防偽令牌:
明確禁止
asp-antiforgery
,例如
<form method="post" asp-antiforgery="false"> ...</form>
透過使用標籤幫助器,從標籤幫助器轉化為表單元素。
<!form method="post"> ...</!form>
在檢視中移除
FormTagHelper
,您可以在Razor檢視中新增以下指令移除FormTagHelper
:
@removeTagHelper Microsoft.AspNetCore.Mvc.TagHelpers.FormTagHelper, Microsoft.AspNetCore.Mvc.TagHelpers
提示:
會自動受到XSRF/CSRF的保護。您不必編寫任何其他程式碼,有關詳細資訊,請參閱。
為抵禦 CSRF 攻擊最常用的方法是使用同步器標記模式(STP)。 當使用者請求的頁面包含窗體資料使用 STP:
伺服器傳送到客戶端的當前使用者的標識相關聯的令牌。
客戶端返回將令牌傳送到伺服器進行驗證。
如果伺服器收到與經過身份驗證的使用者的標識不匹配的令牌,將拒絕請求。
該令牌唯一且不可預測。 該令牌還可用於確保正確序列化的一系列的請求 (例如,確保請求序列的: 第 1 頁–第 2 頁–第 3 頁)。所有在ASP.NET Core MVC 和 Razor 頁模板中的表單都會生成 antiforgery 令牌。 以下兩個檢視生成防偽令牌的示例:
CSHTML複製
<form asp-controller="Manage" asp-action="ChangePassword" method="post"> ...</form> @using (Html.BeginForm("ChangePassword", "Manage")) { ...}
顯式新增到防偽令牌<form>
而無需使用標記幫助程式與 HTML 幫助程式元素:
CSHTML複製
<form action="/" method="post"> @Html.AntiForgeryToken()</form>
在每個前面的情況下,ASP.NET Core 新增類似於以下一個隱藏的表單欄位:
CSHTML複製
<input name="__RequestVerificationToken" type="hidden" value="CfDJ8NrAkS ... s2-m9Yw">
ASP.NET Core 包括三個來處理 antiforgery 令牌:
防偽選項
自定義中Startup.ConfigureServices
:
C#複製
services.AddAntiforgery(options => { // Set Cookie properties using CookieBuilder properties†. options.FormFieldName = "AntiforgeryFieldname"; options.HeaderName = "X-CSRF-TOKEN-yilezhu"; options.SuppressXFrameOptionsHeader = false; });
†設定防偽Cookie
屬性使用的屬性類。
選項 | 描述 |
---|---|
確定用於建立防偽 cookie 的設定。 | |
防偽系統用於呈現防偽令牌在檢視中的隱藏的窗體欄位的名稱。 | |
防偽系統使用的標頭的名稱。 如果null ,系統會認為只有窗體資料。 |
|
指定是否禁止顯示生成X-Frame-Options 標頭。 預設情況下,值為"SAMEORIGIN"生成標頭。 預設為 false 。 |
有關詳細資訊,請參閱。
在我們的CMS系統中的Ajax請求就是使用的自定義HeaderName的方式進行驗證的,不知道大家有沒有注意到!
需要防偽驗證
實質上是一個過濾器,可應用到單個操作,控制器或全域性範圍內。除了具有IgnoreAntiforgeryToken
屬性的操作,否則所有應用了這個屬性的Action都會進行防偽驗證。如下所示:
C#複製
[HttpPost] [ValidateAntiForgeryToken]public async Task<IActionResult> RemoveLogin(RemoveLoginViewModel account){ ManageMessageId? message = ManageMessageId.Error; var user = await GetCurrentUserAsync(); if (user != null) { var result = await _userManager.RemoveLoginAsync( user, account.LoginProvider, account.ProviderKey); if (result.Succeeded) { await _signInManager.SignInAsync( user, isPersistent: false); message = ManageMessageId.RemoveLoginSuccess; } } return RedirectToAction(nameof(ManageLogins), new { Message = message }); }
ValidateAntiForgeryToken
屬性所修飾的操作方法包括 HTTP GET 都需要一個Token進行驗證。 如果ValidateAntiForgeryToken
特性應用於應用程式的控制器上,則可以應用IgnoreAntiforgeryToken
來對它進行過載以便忽略此驗證過程。
備註:ASP.NET Core 不支援自動將 antiforgery 令牌應用到GET 請求上。
ASP.NET Core MVC在Ajax中處理跨站請求偽造(XSRF/CSRF)的注意事項
ValidateAntiForgeryToken
在進行Token驗證的時候Token是從Form裡面取的。但是ajax中,Form裡面並沒有東西。那token怎麼辦呢?這時候我們可以把Token放在Header裡面。相信看了我的原始碼的童鞋一定對這些不會陌生!
如下程式碼所示:
$.ajax({ type: 'POST', url: '/ManagerRole/AddOrModify/', data: { Id: $("#Id").val(), //主鍵 RoleName: $(".RoleName").val(), //角色名稱 RoleType: $(".RoleType").val(), //角色型別 IsSystem: $("input[name='IsSystem']:checked").val() === "0" ? false : true, //是否系統預設 Remark: $(".Remark").val() //使用者簡介 }, dataType: "json", headers: { "X-CSRF-TOKEN-yilezhu": $("input[name='AntiforgeryKey_yilezhu']").val() }, success: function (res) {//res為相應體,function為回撥函式 if (res.ResultCode === 0) { var alertIndex = layer.alert(res.ResultMsg, { icon: 1 }, function () { layer.closeAll("iframe"); //重新整理父頁面 parent.location.reload(); top.layer.close(alertIndex); }); //$("#res").click();//呼叫重置按鈕將表單資料清空 } else if (res.ResultCode === 102) { layer.alert(res.ResultMsg, { icon: 5 }, function () { layer.closeAll("iframe"); //重新整理父頁面 parent.location.reload(); top.layer.close(alertIndex); }); } else { layer.alert(res.ResultMsg, { icon: 5 }); } }, error: function (XMLHttpRequest, textStatus, errorThrown) { layer.alert('操作失敗!!!' + XMLHttpRequest.status + "|" + XMLHttpRequest.readyState + "|" + textStatus, { icon: 5 }); } });
如上程式碼所示我是先獲取Token程式碼然後把這些程式碼放到ajax請求的Head裡面再進行post請求即可!
開源地址
這個系列教程的原始碼我會開放在GitHub以及碼雲上,有興趣的朋友可以下載檢視!覺得不錯的歡迎Star
GitHub:
碼雲:
總結
今天我先從跨站點請求偽造的概念以及原理入手,然後給大家講解了如何進行跨站點請求偽造的處理,後面引出了在ASP.NET Core中如何對其進行處理的!同時給大家說了在Ajax處理中的注意事項,希望能對大夥有所幫助!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/4606/viewspace-2822623/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- CSRF - 跨站請求偽造
- Anchor CMS 0.12.7 跨站請求偽造漏洞(CVE-2020-23342)
- [Http] 跨站請求偽造(CSRF)HTTP
- CSRF(跨站請求偽造)簡介
- CSRF跨站請求偽造漏洞分析
- 密碼學系列之:csrf跨站點請求偽造密碼學
- l初識CSRF(跨站請求偽造)
- CSRF 跨站請求偽造學習筆記筆記
- 跨站請求偽造(CSRF)攻擊原理及預防手段
- SpringSecurity原理解析以及CSRF跨站請求偽造攻擊SpringGse
- Django中如何防範CSRF跨站點請求偽造攻擊Django
- DVWA學習記錄系列(四)SCRF 跨站偽造請求模組CRF
- Dapr + .NET Core實戰(十三)跨語言開發
- jenkins v2.229 版本,無法勾選 “跨站請求偽造保護”Jenkins
- Django csrf跨站請求偽造,校驗,CBV忽略與允許csrf校驗Django
- .NET Core/.NET5/.NET6 開源專案彙總4:CMS、Blog專案
- Django框架之csrf跨站請求Django框架
- Django框架:13、csrf跨站請求偽造、auth認證模組及相關用法Django框架
- 基於 abp vNext 和 .NET Core 開發部落格專案 - 部落格介面實戰篇(三)
- 基於 abp vNext 和 .NET Core 開發部落格專案 - 部落格介面實戰篇(二)
- 基於 abp vNext 和 .NET Core 開發部落格專案 - 部落格介面實戰篇(五)
- 基於 abp vNext 和 .NET Core 開發部落格專案 - 部落格介面實戰篇(一)
- 基於 abp vNext 和 .NET Core 開發部落格專案 - 部落格介面實戰篇(四)
- 基於 abp vNext 和 .NET Core 開發部落格專案 - 終結篇之釋出專案
- SSRF 服務端請求偽造服務端
- java 偽造http請求ip地址JavaHTTP
- 08 CSRF偽造請求攻擊
- .NET Core如何進行請求轉發?
- ASP.NET Core 專案實戰(持續更新~~~)ASP.NET
- 基於 abp vNext 和 .NET Core 開發部落格專案 - Blazor 實戰系列(八)Blazor
- 基於 abp vNext 和 .NET Core 開發部落格專案 - Blazor 實戰系列(七)Blazor
- 基於 abp vNext 和 .NET Core 開發部落格專案 - Blazor 實戰系列(三)Blazor
- 基於 abp vNext 和 .NET Core 開發部落格專案 - Blazor 實戰系列(二)Blazor
- 基於 abp vNext 和 .NET Core 開發部落格專案 - Blazor 實戰系列(九)Blazor
- 基於 abp vNext 和 .NET Core 開發部落格專案 - Blazor 實戰系列(一)Blazor
- 基於 abp vNext 和 .NET Core 開發部落格專案 - Blazor 實戰系列(五)Blazor
- 基於 abp vNext 和 .NET Core 開發部落格專案 - Blazor 實戰系列(四)Blazor
- Nuxt3實戰系列之網路請求篇UX