MVC防止跨站請(qǐng)求偽造攻擊(CSRF)

1、one click什么是CSRF攻擊CSRF/XSRF 。CSRF (Cross-site request forgery )，中文名稱：跨站請(qǐng)求偽造，也被稱為:attack/sessi on ridi ng，縮寫為:因?yàn)樵贏SP.NET程序中，我們的用戶信息都是存在與cookies里面的，此時(shí)在用戶自己來說，程序已經(jīng)可以算是裸奔了。正因?yàn)槿绱?Web程序接受的正?？蛻舳苏?qǐng)求一般來自用戶的點(diǎn)擊鏈接和表單提交等行為?？墒菒阂夤粽邊s可以依靠腳本和瀏覽器的安全缺陷來劫持客戶端會(huì)話、偽造客戶端請(qǐng)求。攻擊者盜用了你的身份，以你的名義發(fā)送惡意請(qǐng)求,以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號(hào)，甚至于購買商品，

2、虛擬貨幣轉(zhuǎn)賬造成的問題包括：個(gè)人隱私泄露以及財(cái)產(chǎn)安全。這就是CSRF攻擊。CSRF漏洞的攻擊一般分為站內(nèi)和站外兩種類型:CSRF站內(nèi)類型的漏洞在一定程度上是由于程序員濫用$_REQUEST類變量造成的，一些敏感的操作本來是要求用戶從表單提交發(fā)起POST請(qǐng)求傳參給程序，但是由于使用了$_REQUEST等變量，程序也接收GET請(qǐng)求傳參，這樣就給攻擊者使用 CSRF攻擊創(chuàng)造了 條件，一般攻擊者只要把預(yù)測好的請(qǐng)求參數(shù)放在站內(nèi)一個(gè)貼子或者留言的圖片鏈接里，受害者瀏覽了這樣的頁面就會(huì)被強(qiáng)迫發(fā)起請(qǐng)求。CSRF站外類型的漏洞其實(shí)就是傳統(tǒng)意義上的外部提交數(shù)據(jù)問題，留言評(píng)論等的表單加上水印以防止SPAM問題，但是

3、為了用戶的體驗(yàn)性，一些操作可能沒般程序員會(huì)考慮給一些有做任何限制，所以攻擊者可以先預(yù)測好請(qǐng)求的參數(shù)，在站外的 Web頁面里編寫javascript腳本偽造文件請(qǐng)求或和自動(dòng)提交的表單來實(shí)現(xiàn)GET、POST請(qǐng)求，用戶在會(huì)話狀態(tài)下點(diǎn)擊鏈接訪問站外的 Web頁面，客戶端就被強(qiáng)迫發(fā)起請(qǐng)求。瀏覽器的安全缺陷現(xiàn)在的Web應(yīng)用程序幾乎都是使用Cookie來識(shí)別用戶身份以及保存會(huì)話狀態(tài)，但是所有的瀏覽器在最初加入 Cookie功能時(shí)并沒有考慮安全因素，從WEB頁面產(chǎn)生的文件請(qǐng)求都會(huì)帶上COOKIEMVC中防止CSRF攻擊使用AntiForgeryToken 令牌，在ASP.NET的核心中為我們提供了一個(gè)用來檢測

4、和組織CSRF攻擊的令牌。()就可以阻止 CSRF攻擊。model MvcA pp licatio n.Models. PersonViewBag.Title ="修改人員"Layout = "/Views/Shared/_Layout.cshtml"<h2>修改人員</h2><scri pt src="Url.C onten t("/Scri pts/jquery.validate.mi n.js")"typ e="text/javascri pt"x/scn p

5、t><scri ptsrc="Url.C on te nt("/Scn pts/jquery.validate.u nobtrusive.mi n.js")" typ e="text/javascri pt"x/scn pt>us ing (Html.Begi nForm()Html.A ntiForgeryToke n()Html.Validatio nSummary(true)<fieldset><legend>人員信息 </legend>Html.Hidde nFor(mod

6、el => model.ID)<div class="editor-label">Html.LabelFor(model => model.Name)</div><div class="editor-field">Html.EditorFor(model => model.Name)Html.Validati onM essageFor(model => model.Name)</div><div class="editor-label">Html.L

7、abelFor(model => model.Age)</div><div class="editor-field">Html.EditorFor(model => model.Age)Html.Validati onM essageFor(model => model.Age)</div>保存"/>vp>vinput typ e="submit" value="</p></fieldset><div>Html.ActionLink(

8、"返回列表", "Index")v/div>相應(yīng)的我們要在 Controller中也要加入ValidateAntiForgeryToken過濾特性。該特性表示檢測服務(wù)器請(qǐng)求是否被篡改。注意：該特性只能用于 post請(qǐng)求，get請(qǐng)求無效。/ 修改方法/ P OST: /Perso n/Edit/5ValidateA ntiForgeryToke nHtt pP ostp ublic Action Result Edit(i nt id, Person person) try數(shù)據(jù)庫操作代碼/ return RedirectToActio n("

9、;Success", person);catch return View();運(yùn)行效果和上面的一樣施 ggakge 二i修改用戶成功！姓名主張三然后我們在運(yùn)行剛才保存的Html文件看看數(shù)據(jù)庫操作代碼JA_'-A 詹吐A F B G冥I菲再哄必要的防偽標(biāo)“.HT 應(yīng)用程序中的服務(wù)器錯(cuò)誤;未提供必要的防偽標(biāo)記或萌偽標(biāo)記無效。軌獰管葦WM謁哦期叵.也戎未涇K逢在匡常-詞世左塔拽廂薛號(hào)耳 吐了爭 有共懐諳溟旦豈歳転中5藪褚謹(jǐn)町蟲墜的請(qǐng)a右鳥Ffi哈哈報(bào)錯(cuò)了。那就證明我們現(xiàn)在的阻止CSRF攻擊是有效的。使用Salt值加強(qiáng)保護(hù)為了保證我們的 An tiForgeryToken 阻止在程序

10、中唯一，更好的加密An tiForgeryToken ，我們可以為 AntiForgeryToken設(shè)置Salt值。這樣，即使攻擊者設(shè)法得到了令牌，但是如果Salt值不匹配也不能進(jìn)行 post操作。電/修改方法/ P OST: /Perso n/Edit/5ValidateA ntiForgeryToke n(Salt = "aa")Htt pP ostp ublic Action Result Edit(i nt id, Person person) try/ return RedirectToActio n("Success", person);catch return View();我們暫時(shí)不修改 View代碼運(yùn)行看看 “ ：胡®打耳/丘：巴£；3固Q X 懇未產(chǎn)方偽標(biāo)：:乜T 應(yīng)用程序中的服務(wù)器錯(cuò)誤舟未建供必要的防偽標(biāo)記或防偽標(biāo)記無效«男；*獰登1； Web