1.前言

CSRF(Cross-site request forgery)跨站请求伪造,ASP.NET MVC 应用通过使用AJAX请求来提升用户体验,浏览器开发者工具可以一览众山小,就很容易伪造了请求对应用进行攻击,从而泄露核心数据,导致安全问题。微软自带AntiForgeryToken可以解决,而且语法简单(AJAX请求发起时传递给后台一个字符串,然后在Filter中进行校验)

2.场景如下

为了验证一个来自form post请求,还需要在目标action上增加自定义[AntiForgeryToken]特性,下面会介绍到这个自定义特性用法

    /// <summary>

    /// 首页

    /// </summary>

    public class HomeController : Controller

    {

        /// <summary>

        /// 用户登录了111111

        /// </summary>

        /// <returns></returns>

        public ActionResult Index()

        {

            return View();

        }

        /// <summary>

        /// Your application description page.

        /// </summary>

        /// <returns></returns>

        public ActionResult About()

        {

            ViewBag.Message = "Your application description page.";

            return View();

        }

        /// <summary>

        /// Your contact page.

        /// </summary>

        /// <param name="name">姓名</param>

        /// <returns></returns>

        public ActionResult Contact(string name)

        {

            ViewBag.Message = "Your contact page.";

            return View();

        }

        /// <summary>

        ///

        /// </summary>

        /// <returns></returns>

        public ActionResult Person()

        {

            return View();

        }

        /// <summary>

        ///

        /// </summary>

        /// <param name="Name"></param>

        /// <param name="Age"></param>

        /// <returns></returns>

        [HttpPost]

        [AntiForgeryToken]

        public ActionResult UserInfo(string Name,string Age)

        {

            return Json(Name + Age);

        }

    }

前端html中如何防范?

一句语法糖解决所有问题,通过在html页面上或者script中使用 Html.AntiForgeryToken(),然后赋值给ajax中headers

html页面上

1.html中使用@Html.AntiForgeryToken(),然后通过jquery中name,获取隐藏域value的值,再赋值给ajax中headers

2.var headToken=$('input[name="__RequestVerificationToken"]').val();

script中

<html>

<head>

    <meta name="viewport" content="width=device-width" />

    <title>Person</title>

    <script src="~/Scripts/jquery-3.3.1.min.js"></script>

    <script src="~/Scripts/jquery.validate.js"></script>

    <script src="~/Scripts/jquery.validate.unobtrusive.js"></script>

</head>

<body>

    <form id="form1">
    @*@Html.AntiForgeryToken()*@

        <div class="form-horizontal">

            <div class="form-group">

                <div>

                    姓名:<input type="text" name="name" value="" id="name" />

                    密码:  <input type="text" name="age" value="" id="age" />

                </div>

                <div class="col-md-offset-2 col-md-10">

                    <input type="button" id="save" value="Create" class="btn btn-default" />

                </div>

            </div>

        </div>

    </form>

    <script>

        $(function () {

             //获取防伪标记

            var token = $('@Html.AntiForgeryToken()').val();

            var headers = {};

            //防伪标记放入headers

            //也可以将防伪标记放入data

            headers["__RequestVerificationToken"] = token;

            $("#save").click(function () {

                $.ajax({

                    type: 'POST',

                    url: '/Home/UserInfo',

                    cache: false,

                    headers: headers,

                    data: { Name: $("#name").val(), Age: $("#age").val() },

                    success: function (data) {

                        alert(data)

                    },

                    error: function () {

                        alert("Error")

                    }

                });

            })

        });

    </script>

</body>

</html>

3.自定义AuthorizeAttribute属性

它主要检查

(1)请求的是否包含一个约定的AntiForgery名的cookie

(2)请求Headers是否有一个["__RequestVerificationToken"],并且不能为空,约定的AntiForgery名的cookie和Headers中的值是否匹配

public class AntiForgeryToken : AuthorizeAttribute

    {

        /// <summary>

        ///

        /// </summary>

        /// <param name="filterContext"></param>

        public override void OnAuthorization(AuthorizationContext filterContext)

        {

            var request = filterContext.HttpContext.Request;

            if (request.IsAjaxRequest())

            {

                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;

                var headerValue = request.Headers["__RequestVerificationToken"];

                //获取head中的值  如果为空直接拒绝不往下走

                if (string.IsNullOrEmpty(headerValue))

                {

                    base.OnAuthorization(filterContext);

                    return;

                }

                //从cookies 和 Headers 中 验证防伪标记

                AntiForgery.Validate(cookieValue,headerValue);

            }

        }

    }

ASP.NET MVC Ajax 伪造请求的更多相关文章

  1. ASP.NET MVC AJAX 请求中加入 antiforgerytoken 解决“所需的防伪表单字段“__RequestVerificationToken”不存在”问题

    在ASP.NET mvc中如果在表中使用了@Html.AntiForgeryToken(),ajax post不会请求成功 解决方法是在ajax中加入__RequestVerificationToke ...

  2. ASP.NET MVC ajax处理 AjaxResult

    1.统一ASPNET MVC 对ajax请求响应格式定义,方便前端统一处理ajax结果. 1)定义程序返回结果数据格式 /// <summary> /// 执行结果 /// </su ...

  3. ASP.NET MVC Ajax.ActionLink 简单用法

    ASP.NET MVC 项目中,如何使用类似于 iframe 的效果呢?或者说 Ajax 局部刷新,比如下面操作: 我们想要的效果是,点击 About 链接,页面不刷新(地址栏不变),然后下面的内容进 ...

  4. Asp.Net MVC ajax调用 .net 类库问题

    如果你还在为 ajax 调用 .net 类库还束手无策的话,相信这篇博客将帮助你解决这个世纪问题! 因为Visual Studio 内置了asp.net mvc ,不过当你添加asp.net mvc项 ...

  5. Asp.Net MVC Ajax

    将ASP.NET MVC中的form提交改为ajax提交 在ASP.NET MVC视图中通过 @using (Html.BeginForm()) 产生的是form表单提交代码,可以用javascrip ...

  6. 详解ASP.NET MVC应用程序请求生命周期

    ------转载当一个ASP.NET MVC应用程序提出请求,为了响应请求,包含一些请求执行流程步骤! 在ASP.NET MVC应用程序Http request 和Http response 过程中, ...

  7. asp.net MVC ajax 请求参数前台加密后台解密

    最近有一个需求要求页面查询数据库,查询内容保存到excel里面作为附件加密打包下载.查询的sql作为参数传入后台,实现加密提交.这里做个记录,后面用到直接来拿. 控制器 public ActionRe ...

  8. ASP.NET MVC AJAX的调用示例

    @{ ViewBag.Title = "Home Page"; //下面引用Jquery和unobtrusive-ajax } @Scripts.Render("~/bu ...

  9. asp.net mvc ajax FileUpload

    //后台代码 [HttpPost] public ActionResult CreateCategory(HttpPostedFileBase file) { string url = Upload( ...

随机推荐

  1. np.array()

    将列表list或元组tuple转换为 ndarray 数组. numpy.array(object, dtype=None, copy=True, order=None, subok=False, n ...

  2. Django之ORM使用以及模板语言

    一.ORM版增删改查 1.ORM的语句 1.类名.objects.all()          --> 返回一个列表 2.类名.objects.filter()       --> 返回一 ...

  3. Robotium原理初步--Android自动化测试学习历程

    章节:自动化基础篇——Robotium原理初步(第四讲) 主要讲解内容与笔记: 一.基于控件 1.spinner——下拉菜单 2.TabHost——左右滑动选择菜单,类似电话本 3.Gallery—— ...

  4. OC 线程操作 - GCD使用 -同步函数,异步函数,串行队列,并发队列

    - (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event{ // GCD 开几条线程并不是我们 ...

  5. error: In function ‘void* opencv_showimg(void*)’:

    今天这个问题折磨了我一下午,终于知道是为什么了,心酸历程.....赶紧来记录一下 错误: /home/wj/workspace/Loitor_VI_Sensor_SDK_V1./SDK/src/cam ...

  6. Tomcat:A cookie header was received[xxxxxx] that contained an invalid cookie. That cookie will be ignored.

    搬运来源:https://blogs.yahoo.co.jp/dk521123/36721868.html 原因: *从Tomcat 8,Cookie的解析已经符合RFC 6265. *由于RFC 6 ...

  7. C#的一些方法读程序转c++

    1.Array.Copypublic static void Copy( Array sourceArray, int sourceIndex, Array destinationArray, int ...

  8. Jmeter 如何让变量中包含变量

    在运行Jmeter的过程中,有时候,我们可能会引用一个变量,而这个变量又是由另外一个变量组成的: 譬如我在脚本中要引用变量MappingData1,按照正常的情况,直接就是用${MappingData ...

  9. 使用kindeditor 4.1.7 编辑器 注意事项,上传图片失败 问题 ,

    <script charset="utf-8" src="editor/kindeditor.js"></script> <scr ...

  10. 博客停更转战简书http://www.jianshu.com/u/7ac4047c9cfa

    博客停更转战简书 http://www.jianshu.com/u/7ac4047c9cfa