CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

----  摘自《百度百科》

那我们如何防御呢?

一、在页面添加:@Html.AntiForgeryToken()

生成代码如下:

<input name="__RequestVerificationToken" type="hidden" value="-ixNsp4avtyr2m0rXsEshzmZcQAoitTNqqqrKn5UeGEJSTir7YgD7HrZ3hr6WnFQKcCnKhR4cFr6DvTqSSioX9YVc4ynLmFi19jCvvVaUQhE3E2j1sT0JwLeIYmeoujB0">

二、在我们的过滤器里添加过滤

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]

    public class AntiForgeryAttribute : FilterAttribute, IAuthorizationFilter

    {

        private readonly bool _ignore;

        /// <summary>

        /// Anti-forgery security attribute

        /// </summary>

        /// <param name="ignore">Pass false in order to ignore this security validation</param>

        public AdminAntiForgeryAttribute(bool ignore = false)

        {

            this._ignore = ignore;

        }

        public virtual void OnAuthorization(AuthorizationContext filterContext)

        {

            if (filterContext == null)

                throw new ArgumentNullException("filterContext");

            if (_ignore)

                return;

            //don't apply filter to child methods

            if (filterContext.IsChildAction)

                return;

            //only POST requests

            if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "POST", StringComparison.OrdinalIgnoreCase))

                return;

            if (!DataSettingsHelper.DatabaseIsInstalled())

                return;

            var securitySettings = EngineContext.Current.Resolve<SecuritySettings>();

            if (!securitySettings.EnableXsrfProtectionForAdminArea)

                return;

            var validator = new ValidateAntiForgeryTokenAttribute();

            validator.OnAuthorization(filterContext);

        }

    }

三、然后在控制器上添加过滤:

[AntiForgery]

public class BaseTController : BaseController

四、在我们的页面的js里发送post前添加:

  addAntiForgeryToken(postData);

  $.ajax({

          type: "POST",

          url: "@(Url.Action("actionx", "controllerx"))",

          data: postData,

          complete: function(data) {

          },

          error: function(xhr, ajaxOptions, thrownError) {

              alert(thrownError);

          },

          traditional: true

      });

五、调用的这个addAntiForgeryToken方法是什么呢?

// CSRF (XSRF) security

function addAntiForgeryToken(data) {

    //if the object is undefined, create a new one.

    if (!data) {

        data = {};

    }

    //add token

    var tokenInput = $('input[name=__RequestVerificationToken]');

    if (tokenInput.length) {

        data.__RequestVerificationToken = tokenInput.val();

    }

    return data;

};

这样我们就能防御跨站请求伪造了。

下面我们实现一个简单的xss攻击

首先我们的js是这样的:

$(function(){

  var msg='@ViewBag.Message';

  $('#xss').html(msg)

})

html:

<div id="xss"></div>

@using (Html.BeginForm("Index", "contacts", FormMethod.Post))

{

    <input type="text" name="msg" value="" />

    <input type="submit" value="提交" />

}

控制器呢是这样的:

[HttpPost]

public ActionResult Index(string msg="")

{

    ViewBag.Message = msg;

    return View();

}

好了,就是这么一个简单的页面;

然后我们在输入框里填写:\x3cscript\x3ealert(\x27pwnd\x27)\x3c/script\x3e

然后提交,竟然能弹出提示框?是不是很奇怪!

razor明明默认是HTML编码,怎么这里会失败呢?

因为尽管msg进行了htm编码,但是仍然具有潜在的XSS脆弱性。在js里应该使用@Ajax.JavascriptStringEncode方法对msg的内容进行编码,这样就能阻止xss攻击了。

ASP.NET MVC CSRF (XSRF) security的更多相关文章

  1. .NET MVC CSRF/XSRF 漏洞

    最近我跟一个漏洞还有一群阿三干起来了…… 背景: 我的客户是一个世界知名的药企,最近这个客户上台了一位阿三管理者,这个货上线第一个事儿就是要把现有的软件供应商重新洗牌一遍.由于我们的客户关系维护的非常 ...

  2. CSRF in asp.net mvc and ap.net core

    如果在方法上添加了[ValidateAntiForgeryToken],没处理好 请求没有带参数 2019-09-17 14:02:45,142 ERROR [36]: System.Web.Mvc. ...

  3. ASP.NET MVC防范CSRF最佳实践

    XSS与CSRF 哈哈,有点标题党,但我保证这篇文章跟别的不太一样. 我认为,网站安全的基础有三块: 防范中间人攻击 防范XSS 防范CSRF 注意,我讲的是基础,如果更高级点的话可以考虑防范机器人刷 ...

  4. Asp.net MVC 如何防止CSRF攻击

    什么是CSRF攻击? CSRF(Cross-site request forgery跨站请求伪造,也被称成为"one click attack"或者session riding,通 ...

  5. asp.netcore mvc 防CSRF攻击,原理介绍+代码演示+详细讲解

    一.CSRF介绍 1.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session ridin ...

  6. ASP.NET MVC中防止跨站请求攻击(CSRF)

    转载   http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET M ...

  7. Asp.net MVC 3 防止 Cross-Site Request Forgery (CSRF)原理及扩展 安全 注入

    原理:http://blog.csdn.net/cpytiger/article/details/8781457 原文地址:http://www.cnblogs.com/wintersun/archi ...

  8. ASP.NET MVC 防止CSRF攻击

    简介 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cr ...

  9. 如何在asp.net mvc框架及django框架下面避免CSRF

    CSRF 跨站伪造请求 不知CSRF为何物的,可以问下G哥. 在Asp.net MVC平台下,提供了Html.AntiForgeryToken() 方法,我们只需把其放在form的标签内,在浏览器端就 ...

随机推荐

  1. 解决多版本共存时,python/pip等命令失效

    问题呈现: Windows环境下,多版本Python解释器共存时,由于未配置环境变量或者反复卸载重装解释器等原因,CMD交互下输入Python或者pip等命令时失效 解决方式: 1)配置各个解释器的环 ...

  2. P1186 玛丽卡

    题目描述 麦克找了个新女朋友,玛丽卡对他非常恼火并伺机报复. 因为她和他们不住在同一个城市,因此她开始准备她的长途旅行. 在这个国家中每两个城市之间最多只有一条路相通,并且我们知道从一个城市到另一个城 ...

  3. centos安装图形界面

    1.首先安装X(X Window System),命令为  yum groupinstall "X Window System"   回车 2.由于这个软件组比较大,安装过程会比较 ...

  4. xtrabackup 2.4.3 BUG

    用XtraBackup对备份集进行apply log 的时候,卡在 xtrabackup 版本:2.4.3 InnoDB: Waited for 1535930 seconds for 128 pen ...

  5. P2774 方格取数问题(网络流)

    P2774 方格取数问题 emm........仔细一看,这不是最大权闭合子图的题吗! 取一个点$(x,y)$,限制条件是同时取$(x,y+1),(x,y-1),(x+1,y),(x-1,y)$,只不 ...

  6. Gradle构建多模块项目

    通常我在使用Maven构建项目的时候是将应用项目划分为多个更小的模块. Gradle 项目也拥有多于一个组件,我们也将其称之为多项目构建(multi-project build). 我们首先创建一个多 ...

  7. 【读书笔记】使用JMeter创建数据库(Mysql)测试

    读书笔记:<零成本实现Web性能测试>第4章 记得某天按照虫师博客的写的,折腾后成功了.今天又忘记了... 折腾后又成功了,赶紧记录下... 原文:http://www.cnblogs.c ...

  8. GreenDao教程2

    总述: 所有的增删改查都需要通过greendao通过实体对象类生成的Dao来实现, 具体实现如下图 1.初始化数据库操作对象(GreenDao自动生成的操作对象) 2.通过数据库操作对象,进行增删改查 ...

  9. vue-cli 使用 webpack-bundle-analyzer

    # build for production and view the bundle analyzer report npm run build --report ​

  10. Struts2---动态action以及应用

    为了处理各种逻辑业务,根据execute方法来判断请求哪种业务,然后将请求转发到对应的业务处理上, 通过动态请求action对象中的方法,实现某个单一的业务逻辑处理. 动态action的应用 //创建 ...