CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

----  摘自《百度百科》

那我们如何防御呢?

一、在页面添加:@Html.AntiForgeryToken()

生成代码如下:

<input name="__RequestVerificationToken" type="hidden" value="-ixNsp4avtyr2m0rXsEshzmZcQAoitTNqqqrKn5UeGEJSTir7YgD7HrZ3hr6WnFQKcCnKhR4cFr6DvTqSSioX9YVc4ynLmFi19jCvvVaUQhE3E2j1sT0JwLeIYmeoujB0">

二、在我们的过滤器里添加过滤

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]

    public class AntiForgeryAttribute : FilterAttribute, IAuthorizationFilter

    {

        private readonly bool _ignore;

        /// <summary>

        /// Anti-forgery security attribute

        /// </summary>

        /// <param name="ignore">Pass false in order to ignore this security validation</param>

        public AdminAntiForgeryAttribute(bool ignore = false)

        {

            this._ignore = ignore;

        }

        public virtual void OnAuthorization(AuthorizationContext filterContext)

        {

            if (filterContext == null)

                throw new ArgumentNullException("filterContext");

            if (_ignore)

                return;

            //don't apply filter to child methods

            if (filterContext.IsChildAction)

                return;

            //only POST requests

            if (!String.Equals(filterContext.HttpContext.Request.HttpMethod, "POST", StringComparison.OrdinalIgnoreCase))

                return;

            if (!DataSettingsHelper.DatabaseIsInstalled())

                return;

            var securitySettings = EngineContext.Current.Resolve<SecuritySettings>();

            if (!securitySettings.EnableXsrfProtectionForAdminArea)

                return;

            var validator = new ValidateAntiForgeryTokenAttribute();

            validator.OnAuthorization(filterContext);

        }

    }

三、然后在控制器上添加过滤:

[AntiForgery]

public class BaseTController : BaseController

四、在我们的页面的js里发送post前添加:

  addAntiForgeryToken(postData);

  $.ajax({

          type: "POST",

          url: "@(Url.Action("actionx", "controllerx"))",

          data: postData,

          complete: function(data) {

          },

          error: function(xhr, ajaxOptions, thrownError) {

              alert(thrownError);

          },

          traditional: true

      });

五、调用的这个addAntiForgeryToken方法是什么呢?

// CSRF (XSRF) security

function addAntiForgeryToken(data) {

    //if the object is undefined, create a new one.

    if (!data) {

        data = {};

    }

    //add token

    var tokenInput = $('input[name=__RequestVerificationToken]');

    if (tokenInput.length) {

        data.__RequestVerificationToken = tokenInput.val();

    }

    return data;

};

这样我们就能防御跨站请求伪造了。

下面我们实现一个简单的xss攻击

首先我们的js是这样的:

$(function(){

  var msg='@ViewBag.Message';

  $('#xss').html(msg)

})

html:

<div id="xss"></div>

@using (Html.BeginForm("Index", "contacts", FormMethod.Post))

{

    <input type="text" name="msg" value="" />

    <input type="submit" value="提交" />

}

控制器呢是这样的:

[HttpPost]

public ActionResult Index(string msg="")

{

    ViewBag.Message = msg;

    return View();

}

好了,就是这么一个简单的页面;

然后我们在输入框里填写:\x3cscript\x3ealert(\x27pwnd\x27)\x3c/script\x3e

然后提交,竟然能弹出提示框?是不是很奇怪!

razor明明默认是HTML编码,怎么这里会失败呢?

因为尽管msg进行了htm编码,但是仍然具有潜在的XSS脆弱性。在js里应该使用@Ajax.JavascriptStringEncode方法对msg的内容进行编码,这样就能阻止xss攻击了。

ASP.NET MVC CSRF (XSRF) security的更多相关文章

  1. .NET MVC CSRF/XSRF 漏洞

    最近我跟一个漏洞还有一群阿三干起来了…… 背景: 我的客户是一个世界知名的药企,最近这个客户上台了一位阿三管理者,这个货上线第一个事儿就是要把现有的软件供应商重新洗牌一遍.由于我们的客户关系维护的非常 ...

  2. CSRF in asp.net mvc and ap.net core

    如果在方法上添加了[ValidateAntiForgeryToken],没处理好 请求没有带参数 2019-09-17 14:02:45,142 ERROR [36]: System.Web.Mvc. ...

  3. ASP.NET MVC防范CSRF最佳实践

    XSS与CSRF 哈哈,有点标题党,但我保证这篇文章跟别的不太一样. 我认为,网站安全的基础有三块: 防范中间人攻击 防范XSS 防范CSRF 注意,我讲的是基础,如果更高级点的话可以考虑防范机器人刷 ...

  4. Asp.net MVC 如何防止CSRF攻击

    什么是CSRF攻击? CSRF(Cross-site request forgery跨站请求伪造,也被称成为"one click attack"或者session riding,通 ...

  5. asp.netcore mvc 防CSRF攻击,原理介绍+代码演示+详细讲解

    一.CSRF介绍 1.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session ridin ...

  6. ASP.NET MVC中防止跨站请求攻击(CSRF)

    转载   http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET M ...

  7. Asp.net MVC 3 防止 Cross-Site Request Forgery (CSRF)原理及扩展 安全 注入

    原理:http://blog.csdn.net/cpytiger/article/details/8781457 原文地址:http://www.cnblogs.com/wintersun/archi ...

  8. ASP.NET MVC 防止CSRF攻击

    简介 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cr ...

  9. 如何在asp.net mvc框架及django框架下面避免CSRF

    CSRF 跨站伪造请求 不知CSRF为何物的,可以问下G哥. 在Asp.net MVC平台下,提供了Html.AntiForgeryToken() 方法,我们只需把其放在form的标签内,在浏览器端就 ...

随机推荐

  1. Scrapy详解

    一.爬虫生态框架 在管道传数据只能传字典和items类型. 将 上一return语句注释则会报错  如: 如上图,爬虫文件中有一个name属性,如果多个爬虫可以通过这个属性在管道控制分析的是哪个爬虫的 ...

  2. STM32F103单片机解密资料

    STM32F103单片机解密资料下载 一.STM32 32位ARM Cortex MCU 基于ARM® Cortex® M 处理器内核的 32位闪存微控制器STM32产品家族,为MCU用户开辟了一个全 ...

  3. 目标检测方法——R-FCN

    R-FCN论文阅读(R-FCN: Object Detection via Region-based Fully Convolutional Networks ) 目录 作者及相关链接 方法概括 方法 ...

  4. socket的原理和实验

    1.socket原理 根据连接启动的方式以及本地套接字要连接的目标,套接字之间的连接过程可以分为三个步骤:服务器监听,客户端请求,连接确认. (1)服务器监听:是服务器端套接字并不定位具体的客户端套接 ...

  5. Mac 下 实现终端跳转 服务器 不用输入密码

    首先需要安装 expect 安装 expect  需要 tcl 依赖 第一步 下载tcl http://www.tcl.tk/software/tcltk/downloadnow84.tml 将下载好 ...

  6. cnetos7设置中文显示及中文输入法

    Centos7安装的时候即使选择了中文安装,因为安装后并没有GUI,即使后来安装GUI后默认依旧是英文显示. 输入locale后显示的是 永久修改成中文:编辑/etc/profile.d/lang.s ...

  7. java之过滤器

    form.jsp <%@ page language="java" contentType="text/html; charset=UTF-8" page ...

  8. 20190410Linux中磁盘管理及LVM(week2day1)

    Linux磁盘管理及LVM讲解(week2_day2)   硬盘接口 从整体的角度上,硬盘接口分为IDE.SATA.SCSI和SAS四种,IDE接口硬盘多用于家用产品中,也部分应用于服务器,SCSI接 ...

  9. Servlet+jSP+java实现商品信息和流水的操作

    设计思路:先是创建两个表,一个用来操作库内商品的增删改查,一个用来记录商品的流水信息. 设计过程:先对商品的属性进行创建javaBean编写,之后编写数据库连接类,之后编写数据库操作类,之后编写服务类 ...

  10. 使用kubesql进行kubernetes资源查询

    kubesql kubesql(https://github.com/xuxinkun/kubesql)是我最近开发的一个使用sql查询kubernetes资源的工具.诸如node,pod等kuber ...