当前位置: 移动技术网 > IT编程>开发语言>.net > .NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造(XSRF/CSRF)攻击处理

.NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造(XSRF/CSRF)攻击处理

2019年01月07日  | 移动技术网IT编程  | 我要评论

通过 asp.net core,开发者可轻松配置和管理其应用的安全性。 asp.net core 中包含管理身份验证、授权、数据保护、ssl 强制、应用机密、请求防伪保护及 cors 管理等等安全方面的处理。 通过这些安全功能,可以生成安全可靠的 asp.net core 应用。而我们这一章就来说道说道如何在asp.net core中处理“跨站请求伪造(xsrf/csrf)攻击”的,希望对大家有所帮助!

本文已收录至《.net core实战项目之cms 第一章 入门篇-开篇及总体规划
作者:依乐祝
原文地址:https://www.cnblogs.com/yilezhu/p/10229954.html

写在前面

上篇文章发出来后很多人就去github上下载了源码,然后就来问我说为什么登录功能都没有啊?还有很多菜单点着没反应。这里统一说明一下,是因为我的代码是跟着博客的进度在逐步完善的,等这个系列写完的时候才代表这个cms系统的完成!因此,现在这个cms系统还是一个半成品,不过我会尽快来完成的!废话不多说,下面我们先介绍一下跨站请求伪造(xsrf/csrf)攻击”的概念,然后再来说到一下asp.net core中是如何进行处理的吧!

什么是跨站请求伪造(xsrf/csrf)

在继续之前如果不给你讲一下什么是跨站请求伪造(xsrf/csrf)的话可能你会很懵逼,我为什么要了解这个,不处理又有什么问题呢?
csrf(cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为csrf或者xsrf,是一种对网站的恶意利用。尽管听起来像跨站脚本(xss),但它与xss非常不同,并且攻击方式几乎相左。xss利用站点内的信任用户,而csrf则通过伪装来自受信任用户的请求来利用受信任的网站。与xss攻击相比,csrf攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比xss更具危险性。
csrf在 2007 年的时候曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 sql 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,csrf 却依然是一个陌生的概念。即便是大名鼎鼎的 gmail, 在 2007 年底也存在着 csrf 漏洞,从而被黑客攻击而使 gmail 的用户造成巨大的损失。

跨站请求伪造(xsrf/csrf)的场景

这里为了加深大家对“跨站请求伪造(xsrf/csrf)”的理解可以看如下所示的图:

如上图所示:

  1. 用户浏览位于目标服务器 a 的网站。并通过登录验证。

  2. 获取到 cookie_session_id,保存到浏览器 cookie 中。

  3. 在未登出服务器 a ,并在 session_id 失效前用户浏览位于 hacked server b 上的网站。

  4. server b 网站中的<img src = "http://www.cnblog.com/yilezhu?creditaccount=1001160141&transferamount=1000">嵌入资源起了作用,迫使用户访问目标服务器 a

  5. 由于用户未登出服务器 a 并且 sessionid 未失效,请求通过验证,非法请求被执行。

试想一下如果这个非法请求是一个转账的操作会有多恐怖!

跨站请求伪造(xsrf/csrf)怎么处理?

既然跨站请求伪造(xsrf/csrf)有这么大的危害,那么我们如何在asp.net core中进行处理呢?
其实说白了csrf能够成功也是因为同一个浏览器会共享cookies,也就是说,通过权限认证和验证是无法防止csrf的。那么应该怎样防止csrf呢?其实防止csrf的方法很简单,只要确保请求是自己的站点发出的就可以了。那怎么确保请求是发自于自己的站点呢?asp.net core中是以token的形式来判断请求。我们需要在我们的页面生成一个token,发请求的时候把token带上。处理请求的时候需要验证cookies+token。这样就可以有效的进行验证了!
其实说到这里可能有部分童鞋已经想到了,@html.antiforgerytoken() 没错就是它,在.net core中起着防止 跨站请求伪造(xsrf/csrf)的作用,想必大伙都会使用!下面我们再一起看看asp.net core的使用方式吧。

asp.net core mvc是如何处理跨站请求伪造(xsrf/csrf)的?

警告:
asp.net core使用 asp.net core data protection stack 来实现防请求伪造。如果在服务器集群中需配置 asp.net core data protection,有关详细信息,请参阅 configuring data protection

在asp.net core mvc 2.0或更高版本中,formtaghelper为html表单元素注入防伪造令牌。例如,razor文件中的以下标记将自动生成防伪令牌:

        <form method="post">
            ···
        </form>

类似地, ihtmlhelper.beginform默认情况下生成防伪令牌,当然窗体的方法不是 get。(你懂的)

当html表单包含method="post"并且下面条件之一 成立是会自动生成防伪令牌。

  • action属性为空( action="") 或者
  • 未提供action属性(<form method="post">)。

当然您也可以通过以下方式禁用自动生成html表单元素的防伪令牌:

  • 明确禁止asp-antiforgery,例如
<form method="post" asp-antiforgery="false">
    ...
</form>
  • 通过使用标签帮助器,从标签帮助器转化为表单元素。
<!form method="post">
    ...
</!form>
  • 在视图中移除formtaghelper,您可以在razor视图中添加以下指令移除formtaghelper
@removetaghelper microsoft.aspnetcore.mvc.taghelpers.formtaghelper, microsoft.aspnetcore.mvc.taghelpers

提示:
razor页面会自动受到xsrf/csrf的保护。您不必编写任何其他代码,有关详细信息,请参阅xsrf/csrf和razor页面

为抵御 csrf 攻击最常用的方法是使用同步器标记模式(stp)。 当用户请求的页面包含窗体数据使用 stp:

  1. 服务器发送到客户端的当前用户的标识相关联的令牌。
  2. 客户端返回将令牌发送到服务器进行验证。
  3. 如果服务器收到与经过身份验证的用户的标识不匹配的令牌,将拒绝请求。

该令牌唯一且不可预测。 该令牌还可用于确保正确序列化的一系列的请求 (例如,确保请求序列的: 第 1 页–第 2 页–第 3 页)。所有在asp.net core mvc 和 razor 页模板中的表单都会生成 antiforgery 令牌。 以下两个视图生成防伪令牌的示例:

cshtml复制

<form asp-controller="manage" asp-action="changepassword" method="post">
    ...
</form>

@using (html.beginform("changepassword", "manage"))
{
    ...
}

显式添加到防伪令牌<form>而无需使用标记帮助程序与 html 帮助程序元素@html.antiforgerytoken:

cshtml复制

<form action="/" method="post">
    @html.antiforgerytoken()
</form>

在每个前面的情况下,asp.net core 添加类似于以下一个隐藏的表单字段:

cshtml复制

<input name="__requestverificationtoken" type="hidden" value="cfdj8nraks ... s2-m9yw">

asp.net core 包括三个来处理 antiforgery 令牌:

防伪选项

自定义防伪选项startup.configureservices:

c#复制

services.addantiforgery(options => 
{
    // set cookie properties using cookiebuilder properties†.
    options.formfieldname = "antiforgeryfieldname";
    options.headername = "x-csrf-token-yilezhu";
    options.suppressxframeoptionsheader = false;
});

†设置防伪cookie属性使用的属性cookiebuilder类。

选项 描述
cookie 确定用于创建防伪 cookie 的设置。
formfieldname 防伪系统用于呈现防伪令牌在视图中的隐藏的窗体字段的名称。
headername 防伪系统使用的标头的名称。 如果null,系统会认为只有窗体数据。
suppressxframeoptionsheader 指定是否禁止显示生成x-frame-options标头。 默认情况下,值为"sameorigin"生成标头。 默认为 false

有关详细信息,请参阅cookieauthenticationoptions

在我们的cms系统中的ajax请求就是使用的自定义headername的方式进行验证的,不知道大家有没有注意到!

需要防伪验证

validateantiforgerytoken实质上是一个过滤器,可应用到单个操作,控制器或全局范围内。除了具有ignoreantiforgerytoken属性的操作,否则所有应用了这个属性的action都会进行防伪验证。如下所示:

c#复制

[httppost]
[validateantiforgerytoken]
public async task<iactionresult> removelogin(removeloginviewmodel account)
{
    managemessageid? message = managemessageid.error;
    var user = await getcurrentuserasync();

    if (user != null)
    {
        var result = 
            await _usermanager.removeloginasync(
                user, account.loginprovider, account.providerkey);

        if (result.succeeded)
        {
            await _signinmanager.signinasync(user, ispersistent: false);
            message = managemessageid.removeloginsuccess;
        }
    }

    return redirecttoaction(nameof(managelogins), new { message = message });
}

validateantiforgerytoken属性所修饰的操作方法包括 http get 都需要一个token进行验证。 如果validateantiforgerytoken特性应用于应用程序的控制器上,则可以应用ignoreantiforgerytoken来对它进行重载以便忽略此验证过程。

备注:asp.net core 不支持自动将 antiforgery 令牌应用到get 请求上。

asp.net core mvc在ajax中处理跨站请求伪造(xsrf/csrf)的注意事项

validateantiforgerytoken 在进行token验证的时候token是从form里面取的。但是ajax中,form里面并没有东西。那token怎么办呢?这时候我们可以把token放在header里面。相信看了我的源码的童鞋一定对这些不会陌生!
如下代码所示:

$.ajax({
            type: 'post',
            url: '/managerrole/addormodify/',
            data: {
                id: $("#id").val(),  //主键
                rolename: $(".rolename").val(),  //角色名称
                roletype: $(".roletype").val(),  //角色类型
                issystem: $("input[name='issystem']:checked").val() === "0" ? false : true,  //是否系统默认
                remark: $(".remark").val()  //用户简介
            },
            datatype: "json",
            headers: {
                "x-csrf-token-yilezhu": $("input[name='antiforgerykey_yilezhu']").val()
            },
            success: function (res) {//res为相应体,function为回调函数
                if (res.resultcode === 0) {
                    var alertindex = layer.alert(res.resultmsg, { icon: 1 }, function () {
                        layer.closeall("iframe");
                        //刷新父页面
                        parent.location.reload();
                        top.layer.close(alertindex);
                    });
                    //$("#res").click();//调用重置按钮将表单数据清空
                } else if (res.resultcode === 102) {
                    layer.alert(res.resultmsg, { icon: 5 }, function () {
                        layer.closeall("iframe");
                        //刷新父页面
                        parent.location.reload();
                        top.layer.close(alertindex);
                    });
                }
                else {
                    layer.alert(res.resultmsg, { icon: 5 });
                }
            },
            error: function (xmlhttprequest, textstatus, errorthrown) {
                layer.alert('操作失败!!!' + xmlhttprequest.status + "|" + xmlhttprequest.readystate + "|" + textstatus, { icon: 5 });
            }
        });

如上代码所示我是先获取token代码然后把这些代码放到ajax请求的head里面再进行post请求即可!

开源地址

这个系列教程的源码我会开放在github以及码云上,有兴趣的朋友可以下载查看!觉得不错的欢迎star

github:https://github.com/yilezhu/czar.cms

码云:https://gitee.com/yilezhu/czar.cms

如果你觉得这个系列对您有所帮助的话,欢迎以各种方式进行赞助,当然给个star支持下也是可以滴!另外一种最简单粗暴的方式就是下面这种直接关注我们的公众号了: img

总结

今天我先从跨站点请求伪造的概念以及原理入手,然后给大家讲解了如何进行跨站点请求伪造的处理,后面引出了在asp.net core中如何对其进行处理的!同时给大家说了在ajax处理中的注意事项,希望能对大伙有所帮助!另外如果你有不同的看法欢迎留言,或者加入net core千人群637326624讨论。

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网