.net mvc全局拦截CSRF跨站点攻击

最新推荐文章于 2024-01-17 09:35:07 发布
最新推荐文章于 2024-01-17 09:35:07 发布
阅读量363 收藏
点赞数
分类专栏: .net js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a506602491/article/details/105838075
版权
js 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
.net
4 篇文章 0 订阅
订阅专栏

开发中如果不想每个页面都验证CSRF跨站点攻击,可以按以下方法添加拦截器

1. 添加api请求拦截器   

/// <summary>
    /// Api拦截
    /// </summary>
    public class ApiPermissionFilter : System.Web.Http.Filters.ActionFilterAttribute
    {
        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext filterContext)
        {
            try
            {
                var request = filterContext.Request;
                if (request.Method != HttpMethod.Get && request.Method != HttpMethod.Post)
                    return;
                var antiForgeryCookie = HttpContext.Current.Request.Cookies[AntiForgeryConfig.CookieName];
                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
                var heads = request.Headers.GetValues("__RequestVerificationToken");
                if (heads.Count() < 1)
                {
                    filterContext.Response = new System.Net.Http.HttpResponseMessage(HttpStatusCode.Forbidden);
                    return;
                }
                string token = heads.FirstOrDefault();

                从cookies 和 Headers 中 验证防伪标记
                try
                {
                    AntiForgery.Validate(cookieValue, token);
                }
                catch (Exception ex)
                {
                    filterContext.Response = new System.Net.Http.HttpResponseMessage(HttpStatusCode.Forbidden);
                    return;
                }

                base.OnActionExecuting(filterContext);
            }
            catch
            {
                filterContext.Response = new System.Net.Http.HttpResponseMessage(HttpStatusCode.NotFound);
            }
        }
    }

 

 

2. WebApiConfig.cs添加

    public static class WebApiConfig
    {
        public static void Register(HttpConfiguration config)
        {
            config.Filters.Add(new ApiPermissionFilter());
        }
    }

3. cshtml页面添加,最好在母版页添加

                                @Html.AntiForgeryToken()
                                @Html.ValidationSummary(true)

4. 新建   com.antiForgery.js文件,并在页面引入,该脚本目前我已经实现了post和get请求自动加入参数__RequestVerificationToken,脚本下载地址:https://download.csdn.net/download/a506602491/12372800

 

5. 添加普通Action请求的验证(非api)LoginActionFilter.cs

 /// <summary>
    /// 验证防伪标记,防止非法访问
    /// </summary>
    public class LoginActionFilter : ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            var request = filterContext.HttpContext.Request;
            if (request.HttpMethod != WebRequestMethods.Http.Post && request.HttpMethod != WebRequestMethods.Http.Get)
                return;
            if (filterContext.HttpContext.Request.HttpMethod == WebRequestMethods.Http.Post || request.IsAjaxRequest())
            {
                var antiForgeryCookie = request.Cookies[System.Web.Helpers.AntiForgeryConfig.CookieName];
                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
                string token = !string.IsNullOrWhiteSpace(request.Headers["__RequestVerificationToken"]) ? request.Headers["__RequestVerificationToken"] : request.Form["__RequestVerificationToken"];
                if (string.IsNullOrWhiteSpace(token) && (request.UrlReferrer != null))
                {
                    filterContext.Result = new ContentResult() { Content = "非法访问" };
                    filterContext.HttpContext.Response.StatusCode = 404;
                }
                从cookies 和 Headers 中 验证防伪标记
                try
                {
                    //string openValidateUrl = "www.baidu.com";
                    如果允许访问,则在启用下面判断
                    //if (request.UrlReferrer != null || openValidateUrl.Contains(request.CurrentExecutionFilePath.ToLower()))
                    //{
                    //    base.OnActionExecuting(filterContext);
                    //    return;
                    //}
                    //else
                    //{
                    //    AntiForgery.Validate(cookieValue, token);
                    //}
                    AntiForgery.Validate(cookieValue, token);
                }
                catch (Exception ex)
                {
                    filterContext.Result = new ContentResult() { Content = "非法访问" };
                    filterContext.HttpContext.Response.StatusCode = 404;
                }
            }
            base.OnActionExecuting(filterContext);
        }
    }

6. FilterConfig.cs添加,如果没有就自己新建一个

public class FilterConfig
    {
        public static void RegisterGlobalFilters(GlobalFilterCollection filters)
        {
            filters.Add(new LoginActionFilter());
        }
    }

 

7.global文件的Application_Start加入

  protected void Application_Start()
        {
            WebApiConfig.Register(GlobalConfiguration.Configuration);
            FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
        }

完成上面工作后每次POST和GET请求页面都会添加__RequestVerificationToken的参数,并且会触发LoginActionFilter和ApiPermissionFilter两个拦截器

 

 

 

--勇
关注
专栏目录
CSRF 攻击
lcf枫的博客
06-24 880
CSRF 攻击 CSRF (Cross Site Request Forgrey).是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 原理: 站内发送请求一般需要一个登陆了的标志。一般存储在cookies 中。这个cookies会存在浏览器中,而发送请求的时候都会带上这个cookies。hacker 无法拿到这个数据。但是可以通过发送请求都会带上cookies...
Asp.net MVC CSRF攻击防御,添加防伪令牌
a616724623的博客
03-27 1949
第一步:页面加上令牌页面加上@Html.AntiForgeryToken(),它会在页面生成一个请求令牌,当然cookie也有一个,不需要管它第二步:请求中带上令牌在请求的数据里面加上这个令牌,可以在from里面直接加上@Html.AntiForgeryToken(),如果是ajax请求,那就在参数里面加上这个题外:        因为我接手的是一个已经做得差不多的项目,不可能去每个ajax里面去...
浅谈ASP.NET MVC 防止站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Asp.net安全架构之3:CSRF站点请求伪造)
weixin_34267123的博客
06-08 143
原理 CSRF,Cross Site Request Forgery,即站点请求伪造。 这种攻击是指,在用户正常登录系统以后,攻击者诱使用户访问一些非法链接,以执行一些非法操作。比如:如果删除用户操作(如,yourdomain.com/deluser?id=123)没有经过防范CSRF的处理,那么,假设用户登录系统后,攻击者诱使用户同时访问了攻击者的站点的一个链接(该链接正好为yourdom...
.NET Core实战项目之CMS 第十四章 开发篇-防止站请求伪造(XSRF/CSRF攻击处理...
依乐祝的博客
01-06 745
.NET Core实战项目之CMS 第十四章 开发篇-防止站请求伪造(XSRF/CSRF攻击处理 通过 ASP.NET Core,开发者可轻松配置和管理其应用的安全性。 ASP.NET Core 中包含管理身份验证、授权、数据保护、SSL 强制、应用机密、请求防伪保护及 CORS 管理等等安全方面的处理。 通过这些安全功能,可以生成安全可靠的 ...
保护ASP.NET 应用免受 CSRF 攻击
weixin_34288121的博客
12-11 370
CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQ...
MVC中防止CSRF攻击
星星的专栏
03-17 800
MVC中防止CSRF攻击 使用AntiForgeryToken令牌,在ASP.NET的核心中为我们提供了一个用来检测和组织CSRF攻击的令牌。 只要在Html表单里面使用了@Html.AntiForgeryToken()就可以阻止CSRF攻击。 @using (Html.BeginForm()) { @Html.AntiForgeryToken() @Html.Val
ASP.NET MVC中的过滤器与中间件
理解ASP.NET MVC中的过滤器与中间件 ## 1.1 介绍ASP.NET MVC框架 ASP.NET MVC(Model-View-Controller)是一个基于模型-视图-控制器的设计模式的Web应用程序开发框架。它是微软公司推出的一种高效灵活的开发框架...
Spring MVC拦截器与过滤器详解
Spring MVC提供了一种角色分离的可扩展的Web模型,它通过MVC(Model-View-Controller)设计模式来协调请求的处理过程。 在Spring MVC中,Controller层负责接收并处理用户的请求,调用适当的业务逻辑来处理请求,并...
spring boot MVC
05-18
在Spring Boot MVC中,我们可以使用@ControllerAdvice和@ExceptionHandler注解来全局处理可能出现的异常。这样,当业务逻辑中抛出异常时,可以统一返回带有错误信息的JSON响应,提供良好的用户体验。 7. **Docker...
CSRF在ASP.NET Core中的处理方法详解
10-18
主要给大家介绍了关于CSRF在ASP.NET Core中的处理方法,文中通过图文以及示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面随着小编来一起学习学习吧
保护ASP.NET应用免受CSRF攻击
12-22
CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java微服务框架,而ESAPI...
.NET MVC CSRF/XSRF 漏洞
weixin_30642561的博客
08-17 152
最近我跟一个漏洞还有一群阿三干起来了…… 背景: 我的客户是一个世界知名的药企,最近这个客户上台了一位阿三管理者,这个货上线第一个事儿就是要把现有的软件供应商重新洗牌一遍。由于我们的客户关系维护的非常好,直接对口人提前透露给我们这个管理者就是想让一个阿三公司垄断他们的软件供应,并且表示了非常鄙视。我们表示了理解,毕竟任意一家公司只要进去一个阿三,慢慢的。。。慢慢的。。。就变成满屋都是阿三。。。...
ASP.NET MVC中防止站请求攻击(CSRF)
weixin_30505225的博客
08-19 361
转载 http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET MVC 裡為了要防止 CSRF (Cross-Site Request Forgery) 站偽造請求的攻擊,我們可以在 View 的表單中加入「@Html.AntiForgeryToken」然後在對...
.NET MVC中的防CSRF攻击
banyongzhan5405的博客
08-06 223
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。它跟XSS(XSS又叫CSS:Cross-Site-Script)攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用...
ASP.NET MVC 使用防伪造令牌来避免CSRF攻击
机械键盘侠博客
06-24 787
本文转自这篇文章 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie中。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=...
.Net CSRF 站点请求伪造漏洞
最新发布
灵感源于学习的博客
01-17 555
.net CSRF解决方法
ASP.NET MVC 防止CSRF攻击
weixin_33739627的博客
09-19 216
简介MVC中的Html.AntiForgeryToken()是用来防止站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击CSRF可以攻击者盗用了你的身份,以你的名义发...
Spring Security 3.1 MVC集成:web.xml filter配置详解
通过这种方式,Spring Security能够处理URL级别的授权、会话管理以及站请求伪造(CSRF)等安全策略。 接着,我们看到filter-mapping的配置: ```xml <filter-name>springSecurityFilterChain <url-pattern>/*...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值