MVC防止跨站請求偽造攻擊(CSRF)

1、one click什么是CSRF攻擊CSRF/XSRF 。CSRF (Cross-site request forgery )，中文名稱：跨站請求偽造，也被稱為:attack/sessi on ridi ng，縮寫為:因為在ASP.NET程序中，我們的用戶信息都是存在與cookies里面的，此時在用戶自己來說，程序已經(jīng)可以算是裸奔了。正因為如此,Web程序接受的正?？蛻舳苏埱笠话銇碜杂脩舻狞c擊鏈接和表單提交等行為?？墒菒阂夤粽邊s可以依靠腳本和瀏覽器的安全缺陷來劫持客戶端會話、偽造客戶端請求。攻擊者盜用了你的身份，以你的名義發(fā)送惡意請求,以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號，甚至于購買商品，

2、虛擬貨幣轉(zhuǎn)賬造成的問題包括：個人隱私泄露以及財產(chǎn)安全。這就是CSRF攻擊。CSRF漏洞的攻擊一般分為站內(nèi)和站外兩種類型:CSRF站內(nèi)類型的漏洞在一定程度上是由于程序員濫用$_REQUEST類變量造成的，一些敏感的操作本來是要求用戶從表單提交發(fā)起POST請求傳參給程序，但是由于使用了$_REQUEST等變量，程序也接收GET請求傳參，這樣就給攻擊者使用 CSRF攻擊創(chuàng)造了 條件，一般攻擊者只要把預(yù)測好的請求參數(shù)放在站內(nèi)一個貼子或者留言的圖片鏈接里，受害者瀏覽了這樣的頁面就會被強迫發(fā)起請求。CSRF站外類型的漏洞其實就是傳統(tǒng)意義上的外部提交數(shù)據(jù)問題，留言評論等的表單加上水印以防止SPAM問題，但是

3、為了用戶的體驗性，一些操作可能沒般程序員會考慮給一些有做任何限制，所以攻擊者可以先預(yù)測好請求的參數(shù)，在站外的 Web頁面里編寫javascript腳本偽造文件請求或和自動提交的表單來實現(xiàn)GET、POST請求，用戶在會話狀態(tài)下點擊鏈接訪問站外的 Web頁面，客戶端就被強迫發(fā)起請求。瀏覽器的安全缺陷現(xiàn)在的Web應(yīng)用程序幾乎都是使用Cookie來識別用戶身份以及保存會話狀態(tài)，但是所有的瀏覽器在最初加入 Cookie功能時并沒有考慮安全因素，從WEB頁面產(chǎn)生的文件請求都會帶上COOKIEMVC中防止CSRF攻擊使用AntiForgeryToken 令牌，在ASP.NET的核心中為我們提供了一個用來檢測

4、和組織CSRF攻擊的令牌。()就可以阻止 CSRF攻擊。model MvcA pp licatio n.Models. PersonViewBag.Title ="修改人員"Layout = "/Views/Shared/_Layout.cshtml"<h2>修改人員</h2><scri pt src="Url.C onten t("/Scri pts/jquery.validate.mi n.js")"typ e="text/javascri pt"x/scn p

5、t><scri ptsrc="Url.C on te nt("/Scn pts/jquery.validate.u nobtrusive.mi n.js")" typ e="text/javascri pt"x/scn pt>us ing (Html.Begi nForm()Html.A ntiForgeryToke n()Html.Validatio nSummary(true)<fieldset><legend>人員信息 </legend>Html.Hidde nFor(mod

6、el => model.ID)<div class="editor-label">Html.LabelFor(model => model.Name)</div><div class="editor-field">Html.EditorFor(model => model.Name)Html.Validati onM essageFor(model => model.Name)</div><div class="editor-label">Html.L

7、abelFor(model => model.Age)</div><div class="editor-field">Html.EditorFor(model => model.Age)Html.Validati onM essageFor(model => model.Age)</div>保存"/>vp>vinput typ e="submit" value="</p></fieldset><div>Html.ActionLink(

8、"返回列表", "Index")v/div>相應(yīng)的我們要在 Controller中也要加入ValidateAntiForgeryToken過濾特性。該特性表示檢測服務(wù)器請求是否被篡改。注意：該特性只能用于 post請求，get請求無效。/ 修改方法/ P OST: /Perso n/Edit/5ValidateA ntiForgeryToke nHtt pP ostp ublic Action Result Edit(i nt id, Person person) try數(shù)據(jù)庫操作代碼/ return RedirectToActio n("

9、;Success", person);catch return View();運行效果和上面的一樣施 ggakge 二i修改用戶成功！姓名主張三然后我們在運行剛才保存的Html文件看看數(shù)據(jù)庫操作代碼JA_'-A 詹吐A F B G冥I菲再哄必要的防偽標“.HT 應(yīng)用程序中的服務(wù)器錯誤;未提供必要的防偽標記或萌偽標記無效。軌獰管葦WM謁哦期叵.也戎未涇K逢在匡常-詞世左塔拽廂薛號耳 吐了爭 有共懐諳溟旦豈歳転中5藪褚謹町蟲墜的請a右鳥Ffi哈哈報錯了。那就證明我們現(xiàn)在的阻止CSRF攻擊是有效的。使用Salt值加強保護為了保證我們的 An tiForgeryToken 阻止在程序

10、中唯一，更好的加密An tiForgeryToken ，我們可以為 AntiForgeryToken設(shè)置Salt值。這樣，即使攻擊者設(shè)法得到了令牌，但是如果Salt值不匹配也不能進行 post操作。電/修改方法/ P OST: /Perso n/Edit/5ValidateA ntiForgeryToke n(Salt = "aa")Htt pP ostp ublic Action Result Edit(i nt id, Person person) try/ return RedirectToActio n("Success", person);catch return View();我們暫時不修改 View代碼運行看看 “ ：胡®打耳/丘：巴£；3固Q X 懇未產(chǎn)方偽標：:乜T 應(yīng)用程序中的服務(wù)器錯誤舟未建供必要的防偽標記或防偽標記無效«男；*獰登1； Web