.NET Core實戰專案之CMS 第十四章 開發篇-防止跨站請求偽造

透過 ASP.NET Core，開發者可輕鬆配置和管理其應用的安全性。 ASP.NET Core 中包含管理身份驗證、授權、資料保護、SSL 強制、應用機密、請求防偽保護及 CORS 管理等等安全方面的處理。 透過這些安全功能，可以生成安全可靠的 ASP.NET Core 應用。而我們這一章就來說道說道如何在ASP.NET Core中處理“跨站請求偽造（XSRF/CSRF）攻擊”的，希望對大家有所幫助！

寫在前面

上篇文章發出來後很多人就去GitHub上下載了原始碼，然後就來問我說為什麼登入功能都沒有啊？還有很多選單點著沒反應。這裡統一說明一下，是因為我的程式碼是跟著部落格的進度在逐步完善的，等這個系列寫完的時候才代表這個CMS系統的完成！因此，現在這個CMS系統還是一個半成品，不過我會盡快來完成的！廢話不多說，下面我們先介紹一下跨站請求偽造（XSRF/CSRF）攻擊”的概念，然後再來說到一下ASP.NET Core中是如何進行處理的吧！

什麼是跨站請求偽造（XSRF/CSRF）

在繼續之前如果不給你講一下什麼是跨站請求偽造（XSRF/CSRF）的話可能你會很懵逼，我為什麼要了解這個，不處理又有什麼問題呢？
CSRF（Cross-site request forgery跨站請求偽造，也被稱為“One Click Attack”或者Session Riding，通常縮寫為CSRF或者XSRF，是一種對網站的惡意利用。儘管聽起來像跨站指令碼（XSS），但它與XSS非常不同，並且攻擊方式幾乎相左。XSS利用站點內的信任使用者，而CSRF則透過偽裝來自受信任使用者的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對其進行防範的資源也相當稀少）和難以防範，所以被認為比XSS更具危險性。
CSRF在 2007 年的時候曾被列為網際網路 20 大安全隱患之一。其他安全隱患，比如 SQL 指令碼注入，跨站域指令碼攻擊等在近年來已經逐漸為眾人熟知，很多網站也都針對他們進行了防禦。然而，對於大多數人來說，CSRF 卻依然是一個陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在著 CSRF 漏洞，從而被駭客攻擊而使 Gmail 的使用者造成巨大的損失。

跨站請求偽造（XSRF/CSRF）的場景

這裡為了加深大家對“跨站請求偽造（XSRF/CSRF）”的理解可以看如下所示的圖：

如上圖所示：

1. 使用者瀏覽位於目標伺服器 A 的網站。並透過登入驗證。

2. 獲取到 cookie_session_id，儲存到瀏覽器 cookie 中。

3. 在未登出伺服器 A ，並在 session_id 失效前使用者瀏覽位於 hacked server B 上的網站。

4. server B 網站中的<img src = "http://www.cnblog.com/yilezhu?creditAccount=1001160141&transferAmount=1000">嵌入資源起了作用，迫使使用者訪問目標伺服器 A

5. 由於使用者未登出伺服器 A 並且 sessionId 未失效，請求透過驗證，非法請求被執行。

試想一下如果這個非法請求是一個轉賬的操作會有多恐怖！

跨站請求偽造（XSRF/CSRF）怎麼處理？

既然跨站請求偽造（XSRF/CSRF）有這麼大的危害，那麼我們如何在ASP.NET Core中進行處理呢？
其實說白了CSRF能夠成功也是因為同一個瀏覽器會共享Cookies，也就是說，透過許可權認證和驗證是無法防止CSRF的。那麼應該怎樣防止CSRF呢？其實防止CSRF的方法很簡單，只要確保請求是自己的站點發出的就可以了。那怎麼確保請求是發自於自己的站點呢？ASP.NET Core中是以Token的形式來判斷請求。我們需要在我們的頁面生成一個Token，發請求的時候把Token帶上。處理請求的時候需要驗證Cookies+Token。這樣就可以有效的進行驗證了！
其實說到這裡可能有部分童鞋已經想到了，@Html.AntiForgeryToken() 沒錯就是它，在.NET Core中起著防止 跨站請求偽造（XSRF/CSRF）的作用，想必大夥都會使用！下面我們再一起看看ASP.NET Core的使用方式吧。

ASP.NET Core MVC是如何處理跨站請求偽造（XSRF/CSRF）的？

警告：
ASP.NET Core使用  來實現防請求偽造。如果在伺服器叢集中需配置 ASP.NET Core Data Protection，有關詳細資訊，請參閱 。

在ASP.NET Core MVC 2.0或更高版本中，為HTML表單元素注入防偽造令牌。例如，Razor檔案中的以下標記將自動生成防偽令牌：

        <form method="post">
            ···        </form>

類似地， 預設情況下生成防偽令牌，當然窗體的方法不是 GET。（你懂的）

當Html表單包含method="post"並且下麵條件之一 成立是會自動生成防偽令牌。

• action屬性為空( action="") 或者

• 未提供action屬性(<form method="post">)。

當然您也可以透過以下方式禁用自動生成HTML表單元素的防偽令牌：

• 明確禁止asp-antiforgery，例如

<form method="post" asp-antiforgery="false">
    ...</form>

• 透過使用標籤幫助器，從標籤幫助器轉化為表單元素。

<!form method="post">
    ...</!form>

• 在檢視中移除FormTagHelper，您可以在Razor檢視中新增以下指令移除FormTagHelper：

@removeTagHelper Microsoft.AspNetCore.Mvc.TagHelpers.FormTagHelper, Microsoft.AspNetCore.Mvc.TagHelpers

提示：
會自動受到XSRF/CSRF的保護。您不必編寫任何其他程式碼，有關詳細資訊，請參閱。

為抵禦 CSRF 攻擊最常用的方法是使用同步器標記模式(STP)。 當使用者請求的頁面包含窗體資料使用 STP:

1. 伺服器傳送到客戶端的當前使用者的標識相關聯的令牌。

2. 客戶端返回將令牌傳送到伺服器進行驗證。

3. 如果伺服器收到與經過身份驗證的使用者的標識不匹配的令牌，將拒絕請求。

該令牌唯一且不可預測。 該令牌還可用於確保正確序列化的一系列的請求 (例如，確保請求序列的： 第 1 頁–第 2 頁–第 3 頁)。所有在ASP.NET Core MVC 和 Razor 頁模板中的表單都會生成 antiforgery 令牌。 以下兩個檢視生成防偽令牌的示例：

CSHTML複製

<form asp-controller="Manage" asp-action="ChangePassword" method="post">    ...</form>

@using (Html.BeginForm("ChangePassword", "Manage"))
{    ...}

顯式新增到防偽令牌<form>而無需使用標記幫助程式與 HTML 幫助程式元素:

CSHTML複製

<form action="/" method="post">
    @Html.AntiForgeryToken()</form>

在每個前面的情況下，ASP.NET Core 新增類似於以下一個隱藏的表單欄位：

CSHTML複製

<input name="__RequestVerificationToken" type="hidden" value="CfDJ8NrAkS ... s2-m9Yw">

ASP.NET Core 包括三個來處理 antiforgery 令牌：

防偽選項

自定義中Startup.ConfigureServices:

C#複製

services.AddAntiforgery(options => 
{    // Set Cookie properties using CookieBuilder properties†.
    options.FormFieldName = "AntiforgeryFieldname";
    options.HeaderName = "X-CSRF-TOKEN-yilezhu";
    options.SuppressXFrameOptionsHeader = false;
});

†設定防偽Cookie屬性使用的屬性類。

有關詳細資訊，請參閱。

在我們的CMS系統中的Ajax請求就是使用的自定義HeaderName的方式進行驗證的，不知道大家有沒有注意到！

需要防偽驗證

實質上是一個過濾器，可應用到單個操作，控制器或全域性範圍內。除了具有IgnoreAntiforgeryToken屬性的操作，否則所有應用了這個屬性的Action都會進行防偽驗證。如下所示：

C#複製

[HttpPost]
[ValidateAntiForgeryToken]public async Task<IActionResult> RemoveLogin(RemoveLoginViewModel account){
    ManageMessageId? message = ManageMessageId.Error;    
    var user = await GetCurrentUserAsync();    if (user != null)
    {        var result = 
            await _userManager.RemoveLoginAsync(
                user, account.LoginProvider, account.ProviderKey);        
                if (result.Succeeded)
        {            await _signInManager.SignInAsync(
        user, isPersistent: false);
            message = ManageMessageId.RemoveLoginSuccess;
        }
    }    return RedirectToAction(nameof(ManageLogins), new { 
    Message = message });
}

ValidateAntiForgeryToken屬性所修飾的操作方法包括 HTTP GET 都需要一個Token進行驗證。 如果ValidateAntiForgeryToken特性應用於應用程式的控制器上，則可以應用IgnoreAntiforgeryToken來對它進行過載以便忽略此驗證過程。

備註:ASP.NET Core 不支援自動將 antiforgery 令牌應用到GET 請求上。

ASP.NET Core MVC在Ajax中處理跨站請求偽造（XSRF/CSRF）的注意事項

ValidateAntiForgeryToken 在進行Token驗證的時候Token是從Form裡面取的。但是ajax中，Form裡面並沒有東西。那token怎麼辦呢？這時候我們可以把Token放在Header裡面。相信看了我的原始碼的童鞋一定對這些不會陌生！
如下程式碼所示：

$.ajax({            
            type: 'POST',            
            url: '/ManagerRole/AddOrModify/',            
            data: {                
            Id: $("#Id").val(),  //主鍵
                RoleName: $(".RoleName").val(),  //角色名稱
                RoleType: $(".RoleType").val(),  //角色型別
                IsSystem: $("input[name='IsSystem']:checked").val() === "0" ? false : true,  //是否系統預設
                Remark: $(".Remark").val()  //使用者簡介
            },            
            dataType: "json",            
            headers: {                
            "X-CSRF-TOKEN-yilezhu": $("input[name='AntiforgeryKey_yilezhu']").val()
            },            
            success: function (res) {//res為相應體,function為回撥函式
                if (res.ResultCode === 0) {                    
                var alertIndex = layer.alert(res.ResultMsg, { icon: 1 }, 
                function () {
                        layer.closeAll("iframe");                        
                        //重新整理父頁面
                        parent.location.reload();
                        top.layer.close(alertIndex);
                    });                    
                    //$("#res").click();//呼叫重置按鈕將表單資料清空
                } else if (res.ResultCode === 102) {
                    layer.alert(res.ResultMsg, { icon: 5 }, function () {
                        layer.closeAll("iframe");                        
                        //重新整理父頁面
                        parent.location.reload();
                        top.layer.close(alertIndex);
                    });
                }                else {
                    layer.alert(res.ResultMsg, { icon: 5 });
                }
            },            
            error: function (XMLHttpRequest, textStatus, errorThrown) {
                layer.alert('操作失敗！！！' + XMLHttpRequest.status + "|" + XMLHttpRequest.readyState + "|" + textStatus, { icon: 5 });
            }
        });

如上程式碼所示我是先獲取Token程式碼然後把這些程式碼放到ajax請求的Head裡面再進行post請求即可！

開源地址

這個系列教程的原始碼我會開放在GitHub以及碼雲上，有興趣的朋友可以下載檢視！覺得不錯的歡迎Star

GitHub：

碼雲：

總結

今天我先從跨站點請求偽造的概念以及原理入手，然後給大家講解了如何進行跨站點請求偽造的處理，後面引出了在ASP.NET Core中如何對其進行處理的！同時給大家說了在Ajax處理中的注意事項，希望能對大夥有所幫助！