ASP.NET MVC Ajax 请求安全

最新推荐文章于 2024-06-23 10:00:00 发布
最新推荐文章于 2024-06-23 10:00:00 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: ASP.NET MVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afandaafandaafanda/article/details/49231999
版权

1.前言

ASP.NET MVC 应用通过使用AJAX请求来提升用户体验。AJAX请求不会刷新整个页面,用户几乎感知不到请求的发送和处理过程,正是这样,AJAX请求的安全性就十分重要了,如果有人伪造了请求,就很容易对应用进行攻击,从而泄露核心数据,导致安全问题。

2.解决方案

如何确保AJAX请求没有被伪造呢?解决办法就是在AJAX请求发起时传递给后台一个字符串,然后在Filter中进行校验。

3.例子

1)Model

namespace AntiForgeryTokenDemo.Models
{
    public class Person
    {
        private string name;

        public string Name
        {
            get { return name; }
            set { name = value; }
        }
        private string age;

        public string Age
        {
            get { return age; }
            set { age = value; }
        }
    }
}
2)Index.cshtml 

@model AntiForgeryTokenDemo.Models.Person
@{
    ViewBag.Title = "Home Page";
}

<script src="~/Scripts/jquery-1.10.2.js"></script>
<script src="~/Scripts/jquery.validate.js"></script>
<script src="~/Scripts/jquery.validate.unobtrusive.js"></script>

<h2>Index</h2>
<form id="form1">
    <div class="form-horizontal">
        <h4>Persen</h4>
        <hr />
        @Html.ValidationSummary(true, "", new { @class = "text-danger" })
        <div class="form-group">
            @Html.LabelFor(model => model.Name, htmlAttributes: new { @class = "control-label col-md-2" })
            <div class="col-md-10">
                @Html.EditorFor(model => model.Name, new { htmlAttributes = new { @class = "form-control" } })
                @Html.ValidationMessageFor(model => model.Name, "", new { @class = "text-danger" })
            </div>
        </div>
        <div class="form-group">
            @Html.LabelFor(model => model.Age, htmlAttributes: new { @class = "control-label col-md-2" })
            <div class="col-md-10">
                @Html.EditorFor(model => model.Age, new { htmlAttributes = new { @class = "form-control" } })
                @Html.ValidationMessageFor(model => model.Age, "", new { @class = "text-danger" })
            </div>
        </div>
        <div class="form-group">
            <div class="col-md-offset-2 col-md-10">
                <input type="button" id="save" value="Create" class="btn btn-default" />
            </div>
        </div>
    </div>
</form>

<script type="text/javascript">
    $(function () {
        //var token = $('[name=__RequestVerificationToken]');
        //获取防伪标记
        var token = $('@Html.AntiForgeryToken()').val();
        var headers = {};
        //防伪标记放入headers
        //也可以将防伪标记放入data
        headers["__RequestVerificationToken"] = token;

        $("#save").click(function () {
            $.ajax({
                type: 'POST',
                url: '/Home/Index',
                cache: false,
                headers: headers,
                data: { Name: $("#Name").val(), Age: $("#Age").val() },
                success: function (data) {
                    alert(data)
                },
                error: function () {
                    alert("Error")
                }
            });
        })

    })
</script>
3)Controller 

public class HomeController : Controller
{
        public ActionResult Index()
        {
            return View();
        }

        [HttpPost]
        [MyValidateAntiForgeryToken]
        public ActionResult Index(Person p)
        {
            return Json(true, JsonRequestBehavior.AllowGet);
        }

        public ActionResult About()
        {
            ViewBag.Message = "Your application description page.";

            return View();
        }

        public ActionResult Contact()
        {
            ViewBag.Message = "Your contact page.";

            return View();
        }
}
4)Filter 

using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Web;
using System.Web.Helpers;
using System.Web.Mvc;

namespace AntiForgeryTokenDemo.Filters
{
    public class MyValidateAntiForgeryToken : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var request = filterContext.HttpContext.Request;

            if (request.HttpMethod == WebRequestMethods.Http.Post)
            {
                if (request.IsAjaxRequest())
                {
                    var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                    var cookieValue = antiForgeryCookie != null
                        ? antiForgeryCookie.Value
                        : null;
                    //从cookies 和 Headers 中 验证防伪标记
                    //这里可以加try-catch
                    AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
                }
                else
                {
                    new ValidateAntiForgeryTokenAttribute()
                        .OnAuthorization(filterContext);
                }
            }
        }
    }
}
3.效果





修改AJAX请求的字符串后




feng1456
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net MVC 安全
我的左脸像我的右脸
11-11 4028
1. 跨站脚本(XSS) 1.1 介绍 1.1.1 被动注入,利用输入html,javascript 等信息伪造链接,图片等使用提交信息,调转页面等 1.1.2 主动注入,黑客主动参与攻击,不会傻等倒霉的用户上钩 1.2 防御 1.2.1 HTML 编码 Html.Encode 1.2.2 HTML 属性编码 Html.AttributeEncode 1.2.3 url
ASP.NET MVC Ajax无限滚动
04-05
ASP.NET中,可以使用JavaScriptSerializer或Newtonsoft.Json库将C#对象序列化为JSON,然后通过Ajax请求返回给客户端。 文件"ASP-NET-MVC-Ajax-Infinite-Scroll.pdf"很可能包含有关如何实现这个功能的详细教程或...
asp.net mvc中的安全
weixin_30315723的博客
07-30 218
1.重复提交攻击:通过Bind特性指定要绑定和不绑定的值。 2.Cookie盗窃:阻止脚本对站点中Cookie的访问,webconfig文件中添加<HttpCookies domain="" httpOnlyCookies="true" requireSSL="false"> 3.开放重定向:登录重定向是开放重定向攻击的一个目标,用Url.IsLocalURl()方法验证重定向地址...
ASP.NET MVC - 安全
最新发布
A_991128a的博客
06-23 554
为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序。第 8 部分:添加安全
ASP.NET MVC 实现 AJAX 跨域请求
zyh_1988的博客
05-25 1707
ActionResult是控制器方法执行后返回的结果类型,控制器方法可以返回一个直接或间接从ActionResult抽象类继承的类型,如果返回的是非ActionResult类型,控制器将会将结果转换为一个ContentResult类型。默认的ControllerActionInvoker调用ActionResult.ExecuteResult方法生成应答结果。     MVC中实现的默认Acti
ASP.NET MVC学习之Ajax(完结)
weixin_34221112的博客
05-30 192
一.前言 通过上面的一番学习,大家一定收获不少。但是总归会有一个结束的时候,但是这个结束也意味着新的开始。 如果你是从事ASP.NET开发,并且也使用了第三方控件,那么一定会觉得ASP.NET开发ajax十分的简单,而ASP.NET MVC学习到现在页面都是刷新的,所以这节就是ASP.NET MVC的最后一节,通过这节的学习我们将能够实现通过ajax提交表单,下面我们开始继续学习。   二...
使用签名来保证ASP.NET MVC OR WEBAPI的接口安全
andy930606的博客
09-22 305
当我们开发一款App的时候,App需要跟后台服务进行通信获取或者提交数据。如果我们没有完善的安全机制则很容易被别用心的人伪造请求而篡改数据。 所以我们需要使用某种安全机制来保证请求的合法。现在最常用的办法是给每个http请求添加一个签名,服务端来验证签名的合法性,如果签名合法则执行响应的操作,如果签名非法则直接拒绝请求。 签名算法 签名算法一般都使用Hash散列算法,常用的有MD5,SH...
如何在ASP.NET MVC中使用Ajax创建和下载文件
04-07
总结起来,要在ASP.NET MVC中使用Ajax创建和下载文件,你需要编写前端的Ajax请求代码,设计后端的Controller Action来生成和返回文件,同时注意处理浏览器的下载行为。这个过程涉及到JavaScript、C#ASP.NET MVC...
ASP.NET MVC中的AJAX应用
01-02
一、ASP.NET MVC中的AJAX应用 首先,在ASP.NET MVC中使用自带的ajax功能,必须要导入2个js文件(顺序不能颠倒):   ASP.NET MVC提供了2个常用的ajax辅助方法. Ajax.ActionLink 该辅助方法用于在页面上生成具有ajax...
ASP.NET MVC中设置跨域访问问题
01-20
js禁止向不是当前域名的网站发起一次ajax请求,即使成功respone了数据,但是你的js仍然会报错。这是JS的同源策略限制,JS控制的并不是我们网站编程出现了问题。客户端(网页)和后台编程都可以有效解决这个问题。...
Asp.Net MVC之jQuery与AJAX操作实例
10-20
Asp.Net MVC之jQuery与AJAX操作实例
ASP.NET MVCAjax如影随行
weixin_30399155的博客
07-04 351
一、Ajax的前世今生 我一直觉得google是一家牛逼的公司,为什么这样说呢?《舌尖上的中国》大家都看了,那些美食估计你是百看不厌,但是里边我觉得其实也有这样的一个哲学:关于食材,对于种食材的菜农来讲,可能它的价值就是卖到市场上而已;而对于大厨们来讲,却可以像变魔术一样将不起眼的食材变成美味佳肴。大厨们不拥有食材,但他们却可以恰到好处的搭配使用它们,这就是他们的精明之处。...
asp.net mvc ajax 例子
程序艺术
10-10 4167
 一、建立一个mvc项目。 二、在Controllers文件夹中加入一个新的控制器ajaxController。代码如下:    using System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Web.Mvc;using System.Web.Mv
ASP.NET MVCAjax
dust__的博客
05-25 1415
一、AJAX简介 什么是Ajax Asynchronous JavaScript and XML (JavaScript执行异步网络请求) 如果仔细观察一个Form的提交,你就会发现,一旦用户点击“Submit”按钮,表单开始提交,浏览器就会刷新页面,然后在新页面里告诉你操作是成功了还是失败了。如果不幸由于网络太慢或者其他原因,就会得到一个404页面。 这就是Web的运作原理:一次HTTP请求对应一个页面。 如果要让用户留在当前页面中,同时发出新的HTTP请求,就必须用JavaScript发送这个新请求,接
Asp.Net MVC 使用 Ajax(一)
尐、孽障的博客
09-16 1844
Asp.Net MVC 使用 Ajax(一)AjaxAjax工作原理Jquery中的Ajax$.Ajax()$.load()$ .get()和$.post()表单序列化 Ajax 简单来说Ajax是一个无需重新加载整个网页的情况下,可以更新局部页面或数据的技术(异步的发送接收数据,不会干扰当前页面)。 Ajax工作原理 Ajax使浏览器和服务器之间多了一个Ajax引擎作为中间层。通过Ajax请求服务器时,Ajax会自行判断哪些数据是需要提交到服务器,哪些不需要。只有确定需要从服务器读取新数据时,Aja
AJAX 请求真的不安全么?
Java技术栈,分享最主流的Java技术
04-20 938
作者:撒网要见鱼 https://www.cnblogs.com/dailc/p/8191150.html 开篇三问 AJAX请求真的不安全么? AJAX请求哪里不安全? 怎么样让AJAX请求安全? 前言 本文包含的内容较多,包括AJAX,CORS,XSS,CSRF等内容,要完整的看完并理解需要付出一定的时间。 另外,见解有限,如有描述不当之处,请帮忙及时指出。 正文开始... 从...
ASP.NET MVC 使 Controller 的 Action 只接受 Ajax 请求
weixin_30786657的博客
05-30 158
ASP.NET MVC 使 Controller 的 Action 只接受 Ajax 请求。 首先,ajax 请求跟一般的 web 请求本质是相同的,都是 http 请求。理论上服务器端是无法区分该次请求是不是 ajax 请求的,但是,既然标题都已经说了,那么肯定是有办法做的。 在 ajax 请求请求报文里,往往会包含这么一条:X-Requested-With = XMLHtt...
ASP.NET MVC 网站安全
m0_54370335的博客
04-14 188
ASP.NET MVC 网站安全性XSS 跨站脚本攻击[CSRF 跨站请求伪造](https://docs.microsoft.com/zh-cn/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks)Cookie 盗窃重复攻击开放重定向 应用程序的构建基于这样一个假设, 即只有特定用户才能执行某些操作,而其他 用户则不能执行这些操作。 开发人员希望的应用程序使用方式和黑客的使用方式之间有一条不
Asp.net MVC入门与客户端Ajax验证
"Asp.net MVC 是一种基于模型-视图-控制器(MVC)设计模式的开源Web应用程序框架,由微软开发。它提供了一种替代传统的Asp.net Web Forms的开发方式,允许开发者更直接地处理HTTP请求和响应,实现更清晰的代码分离...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值