前言

前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。

在梳理之前,还需要简单了解一下背景知识。

AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。

那么什么是CSRF呢?

CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

简单理解的话就是:有人盗用了你的身份,并且用你的名义发送恶意请求

最近几年,CSRF处于不温不火的地位,但是还是要对这个小心防范!

更加详细的内容可以参考维基百科:Cross-site request forgery

下面从使用的角度来分析一下CSRF在 ASP.NET Core中的处理,个人认为主要有下面两大块

  • 视图层面
  • 控制器层面

视图层面

用法

@Html.AntiForgeryToken()

在视图层面的用法相对比较简单,用的还是HtmlHelper的那一套东西。在Form表单中加上这一句就可以了。

原理浅析

当在表单中添加了上面的代码后,页面会生成一个隐藏域,隐藏域的值是一个生成的token(防伪标识),类似下面的例子

<input name="__RequestVerificationToken" type="hidden" value="CfDJ8FBn4LzSYglJpE6Q0fWvZ8WDMTgwK49lDU1XGuP5-5j4JlSCML_IDOO3XDL5EOyI_mS2Ux7lLSfI7ASQnIIxo2ScEJvnABf9v51TUZl_iM2S63zuiPK4lcXRPa_KUUDbK-LS4HD16pJusFRppj-dEGc" />

其中的name="__RequestVerificationToken"是定义的一个const变量,value=XXXXX是根据一堆东西进行base64编码,并对base64编码后的内容进行简单处理的结果,具体的实现可以参见Base64UrlTextEncoder.cs

生成上面隐藏域的代码在AntiforgeryExtensions这个文件里面,github上的源码文件:AntiforgeryExtensions.cs

其中重点的方法如下:

public void WriteTo(TextWriter writer, HtmlEncoder encoder)

{

    writer.Write("<input name=\"");

    encoder.Encode(writer, _fieldName);

    writer.Write("\" type=\"hidden\" value=\"");

    encoder.Encode(writer, _requestToken);

    writer.Write("\" />");

}

相当的清晰明了!

控制器层面

用法

[ValidateAntiForgeryToken]

[AutoValidateAntiforgeryToken]

[IgnoreAntiforgeryToken]

这三个都是可以基于类或方法的,所以我们只要在某个控制器或者是在某个Action上面加上这些Attribute就可以了。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]

原理浅析

本质是Filter(过滤器),验证上面隐藏域的value

过滤器实现:ValidateAntiforgeryTokenAuthorizationFilterAutoValidateAntiforgeryTokenAuthorizationFilter

其中 AutoValidateAntiforgeryTokenAuthorizationFilter是继承了ValidateAntiforgeryTokenAuthorizationFilter,只重写了其中的ShouldValidate方法。

下面贴出ValidateAntiforgeryTokenAuthorizationFilter的核心方法:

public class ValidateAntiforgeryTokenAuthorizationFilter : IAsyncAuthorizationFilter, IAntiforgeryPolicy

{

    public async Task OnAuthorizationAsync(AuthorizationFilterContext context)

    {

        if (context == null)

        {

            throw new ArgumentNullException(nameof(context));

        }

        if (IsClosestAntiforgeryPolicy(context.Filters) && ShouldValidate(context))

        {

            try

            {

                await _antiforgery.ValidateRequestAsync(context.HttpContext);

            }

            catch (AntiforgeryValidationException exception)

            {

                _logger.AntiforgeryTokenInvalid(exception.Message, exception);

                context.Result = new BadRequestResult();

            }

        }

    }

}

完整实现可参见github源码:ValidateAntiforgeryTokenAuthorizationFilter.cs

当然这里的过滤器只是一个入口,相关的验证并不是在这里实现的。而是在Antiforgery这个项目上,其实说这个模块可能会更贴切一些。

由于是面向接口的编程,所以要知道具体的实现,就要找到对应的实现类才可以。

Antiforgery这个项目中,有这样一个扩展方法AntiforgeryServiceCollectionExtensions,里面告诉了我们相对应的实现是DefaultAntiforgery这个类。其实Nancy的源码看多了,看一下类的命名就应该能知道个八九不离十。

  services.TryAddSingleton<IAntiforgery, DefaultAntiforgery>();

其中还涉及到了IServiceCollection,但这不是本文的重点,所以不会展开讲这个,只是提出它在 .net core中是一个重要的点。

好了,回归正题!要验证是否是合法的请求,自然要先拿到要验证的内容。

 var tokens = await _tokenStore.GetRequestTokensAsync(httpContext);

它是从Cookie中拿到一个指定的前缀为.AspNetCore.Antiforgery.的Cookie,并根据这个Cookie进行后面相应的判断。下面是验证的具体实现:

public bool TryValidateTokenSet(

    HttpContext httpContext,

    AntiforgeryToken cookieToken,

    AntiforgeryToken requestToken,

    out string message)

{

    //去掉了部分非空的判断

    // Do the tokens have the correct format?

    if (!cookieToken.IsCookieToken || requestToken.IsCookieToken)

    {

        message = Resources.AntiforgeryToken_TokensSwapped;

        return false;

    }

    // Are the security tokens embedded in each incoming token identical?

    if (!object.Equals(cookieToken.SecurityToken, requestToken.SecurityToken))

    {

        message = Resources.AntiforgeryToken_SecurityTokenMismatch;

        return false;

    }

    // Is the incoming token meant for the current user?

    var currentUsername = string.Empty;

    BinaryBlob currentClaimUid = null;

    var authenticatedIdentity = GetAuthenticatedIdentity(httpContext.User);

    if (authenticatedIdentity != null)

    {

        currentClaimUid = GetClaimUidBlob(_claimUidExtractor.ExtractClaimUid(httpContext.User));

        if (currentClaimUid == null)

        {

            currentUsername = authenticatedIdentity.Name ?? string.Empty;

        }

    }

    // OpenID and other similar authentication schemes use URIs for the username.

    // These should be treated as case-sensitive.

    var comparer = StringComparer.OrdinalIgnoreCase;

    if (currentUsername.StartsWith("http://", StringComparison.OrdinalIgnoreCase) ||

        currentUsername.StartsWith("https://", StringComparison.OrdinalIgnoreCase))

    {

        comparer = StringComparer.Ordinal;

    }

    if (!comparer.Equals(requestToken.Username, currentUsername))

    {

        message = Resources.FormatAntiforgeryToken_UsernameMismatch(requestToken.Username, currentUsername);

        return false;

    }

    if (!object.Equals(requestToken.ClaimUid, currentClaimUid))

    {

        message = Resources.AntiforgeryToken_ClaimUidMismatch;

        return false;

    }

    // Is the AdditionalData valid?

    if (_additionalDataProvider != null &&

        !_additionalDataProvider.ValidateAdditionalData(httpContext, requestToken.AdditionalData))

    {

        message = Resources.AntiforgeryToken_AdditionalDataCheckFailed;

        return false;

    }

    message = null;

    return true;

}

注:验证前还有一个反序列化的过程,这个反序列化就是从Cookie中拿到要判断的cookietoken和requesttoken

如何使用

前面粗略介绍了一下其内部的实现,下面再用个简单的例子来看看具体的使用情况:

使用一:常规的Form表单

先在视图添加一个Form表单

<form id="form1" action="/home/antiform" method="post">

    @Html.AntiForgeryToken()

    <p><input type="text" name="message" /></p>

    <p><input type="submit" value="Send by Form" /></p>

</form>

在控制器添加一个Action

[ValidateAntiForgeryToken]

[HttpPost]

public IActionResult AntiForm(string message)

{

    return Content(message);

}

来看看生成的html是不是如我们前面所说,将@Html.AntiForgeryToken()输出为一个name为__RequestVerificationToken的隐藏域:

再来看看cookie的相关信息:

可以看到,一切都还是按照前面所说的执行。在输入框输入信息并点击按钮也能正常显示我们输入的文字。

使用二:Ajax提交

表单:

<form id="form2" action="/home/antiajax" method="post">

    @Html.AntiForgeryToken()

    <p><input type="text" name="message" id="ajaxMsg" /></p>

    <p><input type="button" id="btnAjax" value="Send by Ajax" /></p>

</form>

js:

$(function () {

    $("#btnAjax").on("click", function () {

        $("#form2").submit();

    });

})

这样子的写法也是和上面的结果是一样的!

怕的是出现下面这样的写法:

$.ajax({

    type: "post",

    dataType: "html",

    url: '@Url.Action("AntiAjax", "Home")',

    data: { message: $('#ajaxMsg').val() },

    success: function (result) {

        alert(result);

    },

    error: function (err, scnd) {

        alert(err.statusText);

    }

});

这样,正常情况下确实是看不出任何毛病,但是实际确是下面的结果(400错误):

相信大家也都发现了问题的所在了!!隐藏域的相关内容并没有一起post过去!!

处理方法有两种:

方法一:

在data中加上隐藏域相关的内容,大致如下:

$.ajax({

    //

    data: { message: $('#ajaxMsg').val(), __RequestVerificationToken: $("input[name='__RequestVerificationToken']").val()}

});

方法二:

在请求中添加一个header

$("#btnAjax").on("click", function () {

    var token = $("input[name='__RequestVerificationToken']").val();

    $.ajax({

        type: "post",

        dataType: "html",

        url: '@Url.Action("AntiAjax", "Home")',

        data: { message: $('#ajaxMsg').val() },

        headers:

        {

            "RequestVerificationToken": token

        },

        success: function (result) {

            alert(result);

        },

        error: function (err, scnd) {

            alert(err.statusText);

        }

    });

});

这样就能处理上面出现的问题了!

使用三:自定义相关信息

可能会有不少人觉得,像那个生成的隐藏域那个name能不能换成自己的,那个cookie的名字能不能换成自己的〜〜

答案是肯定可以的,下面简单示范一下:

在Startup的ConfigureServices方法中,添加下面的内容即可对默认的名称进行相应的修改。

services.AddAntiforgery(option =>

{

    option.CookieName = "CUSTOMER-CSRF-COOKIE";

    option.FormFieldName = "CustomerFieldName";

    option.HeaderName = "CUSTOMER-CSRF-HEADER";

});

相应的,ajax请求也要做修改:

var token = $("input[name='CustomerFieldName']").val();//隐藏域的名称要改

$.ajax({

    type: "post",

    dataType: "html",

    url: '@Url.Action("AntiAjax", "Home")',

    data: { message: $('#ajaxMsg').val() },

    headers:

    {

        "CUSTOMER-CSRF-HEADER": token //注意header要修改

    },

    success: function (result) {

        alert(result);

    },

    error: function (err, scnd) {

        alert(err.statusText);

    }

});

下面是效果:

Form表单:

Cookie:

本文涉及到的相关项目:

关于CSRF相关的内容

Preventing Cross-Site Request Forgery (XSRF/CSRF) Attacks in ASP.NET Core

浅谈CSRF攻击方式

初探CSRF在ASP.NET Core中的处理方式的更多相关文章

  1. 项目开发中的一些注意事项以及技巧总结 基于Repository模式设计项目架构—你可以参考的项目架构设计 Asp.Net Core中使用RSA加密 EF Core中的多对多映射如何实现? asp.net core下的如何给网站做安全设置 获取服务端https证书 Js异常捕获

    项目开发中的一些注意事项以及技巧总结   1.jquery采用ajax向后端请求时,MVC框架并不能返回View的数据,也就是一般我们使用View().PartialView()等,只能返回json以 ...

  2. ASP.NET Core 中文文档 第三章 原理(13)管理应用程序状态

    原文:Managing Application State 作者:Steve Smith 翻译:姚阿勇(Dr.Yao) 校对:高嵩 在 ASP.NET Core 中,有多种途径可以对应用程序的状态进行 ...

  3. ASP.NET Core 中的Ajax全局Antiforgery Token配置

    前言 本文基于官方文档 <在 ASP.NET Core 防止跨站点请求伪造 (XSRF/CSRF) 攻击>扩展另一种全局配置Antiforgery方法,适用于使用ASP.NET Core ...

  4. 【翻译】介绍 ASP.NET Core 中的 Razor Pages

    介绍 ASP.NET Core 中的 Razor Pages 原文地址:Introduction to Razor Pages in ASP.NET Core         译文地址:介绍 asp. ...

  5. ASP.NET Core中防跨站点请求伪造

    CSRF(Cross-site request forgery)利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的. 例子 在某个 ...

  6. ASP.NET Core中的数据保护

    在这篇文章中,我将介绍ASP.NET Core 数据保护系统:它是什么,为什么我们需要它,以及它如何工作. 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api.加 ...

  7. ASP.NET Core 中的那些认证中间件及一些重要知识点

    前言 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系列(一,二,三)奠定一下基础. 有关于 Authentication 的知识太广,所以本篇介绍几个在 A ...

  8. Asp.net Core中使用Session

    前言 2017年就这么悄无声息的开始了,2017年对我来说又是特别重要的一年. 元旦放假在家写了个Asp.net Core验证码登录, 做demo的过程中遇到两个小问题,第一是在Asp.net Cor ...

  9. 在ASP.NET Core中使用百度在线编辑器UEditor

    在ASP.NET Core中使用百度在线编辑器UEditor 0x00 起因 最近需要一个在线编辑器,之前听人说过百度的UEditor不错,去官网下了一个.不过服务端只有ASP.NET版的,如果是为了 ...

随机推荐

  1. JavaScript中定义变量和存储值的类型判断

    以严谨的语法表示作为前提 首先变量被定义,然后给变量赋予一定的值,变量真正的作用就是存储值 变量的定义和赋值 变量的定义: var a 使用关键字var+变量名表示定义一个变量 a 变量的赋值: va ...

  2. UCSC genome browser 个人track 安装

    处理基因组数据,很多时候我们会觉得直接看序列文件不够直观,如果绘图的话,把n多G把数据用画图出来不仅费劲,就算操作也不方便.因此我们可以用UCSC开发出的genome browser,可以直接把数据信 ...

  3. mysql 局域网同事之间直接用客户端访问

    情景: 几个人作为小组开发一个项目,以我的机器为服务器,将mysql服务安装在我的机器上,其他小伙伴用客户端都能访问我这个数据库 解决:   首先: 1.设置mysql允许其它机器连接(linux环境 ...

  4. HTML移动端开发常见的兼容性总结

    1.安卓浏览器看背景图片,有些设备会模糊.用同等比例的图片在PC机上很清楚,但是手机上很模糊,原因是什么呢?经过研究,是devicePixelRatio作怪,因为手机分辨率太小,如果按照分辨率来显示网 ...

  5. daterangepicker 时间插件

    在工作中学习到的一种插件 上网查询之后发现 在bootstrap中的时间选择器有两种:dateTimePicker和dateRangePicker HTML <div id="repo ...

  6. Java并发之需要了解但不能太依赖的东东

    <Java 编程思想>在并发一章中提到了Sleep休眠.优先级.后台线程,提醒读者需要了解但又不能太依赖他们.就让我们一起看看吧. 休眠Sleep import java.util.con ...

  7. wemall app商城源码中基于PHP的ThinkPHP惯例配置文件代码

    wemall doraemon是Android客户端程序,服务端采用wemall微信商城,不对原商城做任何修改,只需要在原商城目录下上传接口文件即可完成服务端的配置,客户端可随意定制修改.本文分享其中 ...

  8. 使用Eclipse/MyEclipse开发Java程序

    集成开发环境(IDE)是一类软件 将程序开发环境和程序调试环境集合在一起,提高开发效率 下载eclipse安装包网址:http://www.eclipse.org/downloads/ **MyEcl ...

  9. 【Javascript】搞定JS面试——跨域问题

    什么是跨域? 为什么不能跨域? 跨域的解决方案都有哪些(解决方法/适用场景/get还是post)?  一.什么是跨域?       只要协议.域名.端口有任何一个不同,就是跨域.           ...

  10. html中submit和button的区别(总结) [ 转自欣步同学 ]

    html中submit和button的区别(总结) submit是button的一个特例,也是button的一种,它把提交这个动作自动集成了. 如果表单在点击提交按钮后需要用JS进行处理(包括输入验证 ...