读书笔记——威胁:跨站请求伪造

最新推荐文章于 2021-08-06 18:44:12 发布
最新推荐文章于 2021-08-06 18:44:12 发布
阅读量1.3k 收藏
点赞数
分类专栏: ASP.NET
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kdf123/article/details/14455527
版权

跨站请求伪造(Cross-Site Request Forgery,CSRF,但也用缩写XSRF表示),CSRF比简单的跨站脚本攻击更具危险性。

阻止CSRF攻击

1)、令牌验证

可采用ASP.NET MVC 框架自带的方法:

<form action="/account/register"  method="post">

@Html.AntiForgeryToken()

...

</form>

Html.AntiForgeryToken辅助方法会输出一个加密值作为隐藏的输入元素:

<input type="hidden" value="012837udby32098jhjhjhdj">

隐藏值作为cookie存于浏览器,会话时进行验证

[ValidateAntiforgeryToken]

public ActionResult Register(...)

 

2)、幂等的GET请求

一般仅通过POST请求修改数据库或网站上的内容,就可以有效防止全部CSRF攻击。

 

3)、HttpRefferer验证

public class IsPostedFromThisSiteAttribute:AuthorizeAttribute
        {
            public override void OnAuthorize(AuthorizationContext filterContext)
            {
                if (filterContext.HttpContext!=null)
                {
                    if (filterContext.HttpContext.Request.UrlReferrer==null)
                    {
                        throw new System.Web.HttpException("Invalid submission");
                    }

                    if (filterContext.HttpContext.Request.UrlReferrer.Host!="mysite.com")
                    {
                        throw new System.Web.HttpException("This form wasn't submitted from this site!");
                    }
                }
            }
        }

        //在Register方法上添加过滤器
        [IsPostedFromThisSite]
        public ActionResult Register(...)


 

 

 

 

潜龙在渊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HttpContext.Current.Request.UrlReferrer说明
66
04-28 3863
The situations where this ServerVariable works include the following methods of a browser loading a URL: clicking on a straight HTML link; submitting a form, using POST or GET, from a submit bu
跨站请求伪造 (CSRF):影响、示例和预防
简介
01-12 817
跨站请求伪造 (CSRF/XSRF),是一个 Web 安全漏洞,可诱使 Web 浏览器执行不需要的操作。因此,攻击者滥用 Web 应用程序对受害者浏览器的信任。它允许攻击者部分绕过同源策略,该策略旨在防止不同的网站相互干扰。CSRF 令牌是由服务器端应用程序生成的唯一、不可预测的密钥值,并发送到客户端以包含在客户端发出的后续 HTTP 请求中。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。
Request.UrlReferrer与Request.Url中的属性的使用
学者-微风
08-21 1286
1、由WebForm1.aspx 页面 点击跳转到WebForm2.aspx页面 Request.UrlReferrer(Self) 当前页面:值为null {http://localhost:3961/WebForm1.aspx} AbsolutePath: "/WebForm1.aspx" AbsoluteUri: "http://localhost:3961/WebForm1.aspx" Authority: "localhost:3961" DnsSafeHost:
【ASP.net】内置对象之Request、Response
Alice
02-28 512
Request与Response request对象是从客户端向服务器发出请求(请求获取传递参数),包括用户提交的信息以及客户端的一些信息。 Response对象用于动态响应客户端请示,控制发送给用户的信息,并将动态生成响应。 Request常用方法 1. request.form与requst.querystring request.form 可以获取以post方式提交的数据 requst...
读书笔记——AGoodManIsHardToFind.pdf
12-07
读书笔记——AGoodManIsHardToFind.pdf 读书笔记——AGoodManIsHardToFind.pdf 是一篇关于美国南方女作家 Flannery O'Connor 的读书笔记。该笔记主要讨论了 O'Connor 的小说《好人难寻》(A Good Man Is Hard to ...
读书笔记:数学之美读书笔记——吴军博士2020年寒假大三上学期.zip
最新发布
07-26
读书笔记:数学之美读书笔记——吴军博士2020年寒假大三上学期
《python3网络爬虫开发实战》学习笔记::selenium——xpath:Unable to locate element
01-08
selenium+firefox在定位时遇到selenium.common.exceptions.NoSuchElementException: Message: Unable to locate element: 由于是js加载页面,想确认是否是js的原因,随后进行多次调试时发现“//div”竟然也出现了...
《大数据安全与隐私保护》读书笔记——0.简要介绍
01-08
互联网技术不断涌现和快速更迭的今天,作为信息载体的大数据扮演着至关重要的角色。通过对海量数据的分析,可以提取凝固其中的蕴含的信息和知识,从而创造巨大价值。此外,在数据开放收集共享的同时,需要构建面向...
dubbo笔记——项目实战
02-24
存在2个系统,A系统和B系统,A系统调用B系统的接口获取数据,用于查询用户列表。安装zookeeper,解压(zookeeper-3.4.8.tar.gz)得到如下:然后进入conf将zoo_sample.cfg改名成zoo.cfg。并相关如下内容:该目录为...
Request.UrlReferrer使用详解
10-27
Request.UrlReferrer可以获取客户端上次请求的url的有关信息,接下来为大家详细介绍下Request.UrlReferrer使用方法,感兴趣的朋友可以参考下哈,希望对你有所帮助
Request.UrlReferrer详解
weixin_30340617的博客
01-16 84
使用前需要进行判断: if (Request != null && Request.UrlReferrer != null && Request.UrlReferrer.PathAndQuery != null){string previousURL = Request.UrlReferrer.PathAndQuer...
Request.UrlReferrer,Request.Url获取数据
极客神殿
04-08 6799
由WebForm1.aspx 页面 点击跳转到WebForm2.aspx页面 Request.UrlReferrer(Self) 当前页面:值为null {http://localhost:3961/WebForm1.aspx} AbsolutePath: "/WebForm1.aspx" AbsoluteUri: "http://localhost:3961/WebForm1
reques ajax referer,Request.UrlReferrer注意点
weixin_39878549的博客
08-06 355
定义:public sealed class HttpRequest{//// 摘要:// 获取有关客户端上次请求的 URL 的信息,该请求链接到当前的 URL。//// 返回结果:// 一个 System.Uri 对象。//// 异常:// System.UriFormatException:// HTTP Referer 请求标头格式不正确,并且不能被转换为 Sys...
Action Filter 与 内置的Filter实现(实例-防盗链)
weixin_30314793的博客
02-09 51
首先继承自FilterAttribute类同时实现IActionFilter接口,代码如下: /**//// <summary> /// 防盗链Filter. /// </summary> public class AntiOutSiteLinkAttribute : ActionFilterAttribute, IActionFil...
ASP.NET MVC 入门10、Action Filter 与 内置的Filter实现(实例-防盗链)
sinolover的专栏
03-03 263
本系列文章基于ASP.NET MVC Preview5. 前一篇中我们已经了解了Action Filter 与 内置的Filter实现,现在我们就来写一个实例。就写一个防盗链的Filter吧。 首先继承自FilterAttribute类同时实现IActionFilter接口,代码如下: ///<summary>///防盗链Filter.///</summary&g...
asp.net mvc中在Filter中跳转千万不要使用Response.Redirect
热门推荐
LeeWhoee University
10-25 1万+
如果在Filter中用Response.Redirect,虽然URL是跳转了,但是之后的Filter和Action还是会执行,不仅浪费资源,还会产生一些不必要的错误,或许,这些错误仅在你的错误日志中能看到。
Rquest对象 【获取浏览器,系统等信息】
Fanbin168的专栏
02-13 2225
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; public partial class Request对象_Request对象 : System.Web.UI.Pag
跨站请求伪造攻击的原理及防御
天外来客的博客
08-28 3777
攻击原理 跨站请求伪造(Cross Site Request Forgery,简称CSRF)能够形成的根本原因是利用了浏览器cookie自动发送的特点。如果浏览器cookie中保存了用户信息,该攻击利用了cookie共享机制获取了用户信息,因此可以正常通过系统的鉴权认证,实现非法操作。 下面以网上银行转账的例子来说明该攻击的流程。 1.小明在网上银行(bank.com)转账,浏览器cookie记...
opencv学习笔记——cv::mean()函数详解
06-12
cv::mean()函数是OpenCV中用于计算图像均值的函数,它的函数原型如下: ``` Scalar cv::mean(InputArray src, InputArray mask = noArray()); ``` 其中,src参数是输入的图像,mask参数是用于掩码的可选参数。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值