ASP.NET如何防止跨站点请求伪造

最新推荐文章于 2024-09-21 21:25:21 发布
最新推荐文章于 2024-09-21 21:25:21 发布
阅读量3.1k 收藏
点赞数
分类专栏: MVC ASP.NET 文章标签: ASP.NET MVC 防止 跨站点请求 伪造
未经本人同意,禁止复制文章内容
本文链接:https://blog.csdn.net/mole/article/details/42402615
版权
环境:ASP.NET、MVC5、EntityFramework
对于任何BS程序来说,安全始终是最为重要的一个话题,而跨站点请求伪造是最容易发起的,只需要下个工具(如fiddler)即可轻易实现。我们可以通过对Controller类采取下列措施防止该类黑客行为的发生:
1、在提交数据处理的页面上,加上@Html.AntiForgeryToken()语句。
2、在接收并处理提交的数据的方法上加上[ValidateAntiForgeryToken ]属性。
3、对于所有对数据库等信息进行操作的方法,全部加上[HttpPost]属性,即使用POST提交数据。
4、在该方法上利用BindAttribute绑定entityclass,将用Include属性限定绑定的属性范围,令该方法不处理指定参数之外的参数。
       [HttpPost]
        [ValidateAntiForgeryToken ]
        public ActionResultEdit([Bind(Include="ID,LastName,FirstMidName,EnrollmentDate")]Student student)
        {
            if(ModelState.IsValid)
            {
                db.Entry(student).State =EntityState.Modified;
                db.SaveChanges();
                returnRedirectToAction("Index");
            }
            returnView(student);
        }
但经测试,上述代码会产生一个问题,即不在绑定的属性清单中的字段值会被直接清为null。
5、不采用绑定entity class,而是通过利用控制器的 TryUpdateModel方法来限定字段范围,再通过 db.Entry将其 State设置为 EntityState.Modified,最后提交数据。具体如下:
       [HttpPost,ActionName("Edit")]
        [ValidateAntiForgeryToken ]
        public ActionResult EditPost(int? id)
        {
            if (id ==null)
            {
                return newHttpStatusCodeResult(HttpStatusCode.BadRequest);
            }
            varstudentToUpdate = db.Students.Find(id);
            if(TryUpdateModel(studentToUpdate, "",
                new string[] { "LastName","FirstMidName", "EnrollmentDate" }))
            {
                try
                {
                    db.Entry(studentToUpdate).State =EntityState.Modified;
                    db.SaveChanges();

                    return RedirectToAction("Index");
                }
                catch (DataException )
                {
                    //Log the error (uncomment dex variable name andadd a line here to write a log.
                    ModelState.AddModelError("", "Unable to savechanges. Try again, and if the problem persists, see your systemadministrator.");
                }
            }
            returnView(studentToUpdate);
        }
用此方法,并发处理将会被忽略,也就是即便没有被指定的字段也会使用加载时(Find方法调用时)的值重新更新一次。
mole
关注
专栏目录
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解决asp.net跨站请求伪造的简单手段以及遇到的问题
search1985的专栏
07-04 1266
借鉴:http://blog.csdn.net/hnwanghb/article/details/7920674 在aspx页面的 override protected void OnInit(EventArgs e)事件里,添加一句代码:Page.ViewStateUserKey = Session.SessionID;   
CSRF(跨站请求伪造)漏洞介绍
weixin_56233402的博客
07-28 895
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
跨站请求伪造解决方案
10年职场两茫茫,35岁凄凉奈若何
11-13 286
跨站请求伪造解决方案
asp.net mvc 安全测试漏洞 “跨站请求伪造“ 问题解决
w36680130的博客
08-29 200
asp.net mvc 安全测试漏洞 "跨站请求伪造" 问题解决
ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
05-21
ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
ASP.NET Web API 中启用请求,防止跨站请求伪造 (CSRF) 攻击
NARUTONEPIECE的博客
08-19 489
ASP.NET Web API 中启用请求, 防止 ASP.NET 应用程序中的跨站请求伪造 (CSRF) 攻击
ASP.NET中的跨站请求伪造(CSRF)防范
## 1.1 什么是跨站请求伪造(CSRF)攻击? CSRF(Cross-Site Request Forgery)跨站请求伪造攻击是一种利用用户已经登录的身份发送恶意请求的攻击方式。攻击者通过诱使用户点击恶意链接或访问恶意网站,在用户...
防止MVC应用程序受到跨站请求伪造攻击
04-05
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见的网络安全威胁,它针对的是用户已经登录并保持会话状态的Web应用程序。在ASP.NET MVC框架中,开发人员需要采取措施来防止这种攻击,确保用户的操作...
跨站请求伪造(CSRF)漏洞详解
最新发布
CoffeMilk的博客
09-21 1165
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。
8.8:.NET的理解和处理跨站请求伪造跨站点脚本编制(课程共5450字,4段代码举例)
小兔子平安
08-13 54
通过学习本课程,读者将掌握.NET中处理CSRF和XSS攻击的核心概念和技术,并能够应用这些知识来提升Web应用程序的安全性。然而,安全是一个持续的过程,我们应该保持警惕并不断学习和改进我们的安全实践,以保护用户的数据和隐私。
asp.net防止跨站提交
03-11
非常简单,几行代码而已。在服务端对提交的请求来源进行验证。
跨站请求伪造的处理方法
每天学习一点点
05-28 5012
使用安全软件对网站扫描后报出“跨站请求伪造”的漏洞。
跨站请求伪造解决方案
我这个代码你能看懂吗?
07-16 681
防止CSRF攻击的方法有很多,最常见和有效的方法是使用CSRF令牌。其他方法如验证HTTP Referer头、使用SameSite Cookie属性和双重提交Cookie也可以作为辅助措施。根据具体的应用场景和需求,可以选择一种或多种方法来保护你的应用免受CSRF攻击。
CSRF-跨站请求伪造的原理与修复方式
bingtanggululu的博客
03-31 400
CSRF-跨站请求伪造的原理与修复方式
CSRF跨站请求伪造
qq_26054303的博客
04-27 723
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 例如: 你登陆了一个网站http://blog.sohu.com 然后你又访问了恶意的网站www.abc.com,他构造了一个恶意的请求
.net mvc全局拦截CSRF跨站点攻击
a506602491的专栏
04-29 364
开发中如果不想每个页面都验证CSRF跨站点攻击,可以按以下方法添加拦截器 1. 添加api请求拦截器 /// <summary> /// Api拦截 /// </summary> public class ApiPermissionFilter : System.Web.Http.Filters.ActionFilterAttribute ...
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3166
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
ASP.NET4入门教程:从构建页面到安全
6. 安全:涵盖身份验证(Authentication)、授权(Authorization)机制,以及如何防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等安全问题。 7. 创建ASP.NET应用程序:包括Web Forms、MVC和Web API等不同开发模式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值