NET CORE 防止跨站请求伪造(XSRF/CSRF)攻击处理

最新推荐文章于 2023-01-31 18:01:47 发布
最新推荐文章于 2023-01-31 18:01:47 发布
阅读量1.3k 收藏
点赞数
分类专栏: .NetCore MVC技巧 .NET
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengmodelong/article/details/104363273
版权
.NET 同时被 3 个专栏收录
79 篇文章 0 订阅
订阅专栏
MVC技巧
61 篇文章 0 订阅
订阅专栏
.NetCore
6 篇文章 0 订阅
订阅专栏

什么是跨站请求伪造(XSRF/CSRF)

在继续之前如果不给你讲一下什么是跨站请求伪造(XSRF/CSRF)的话可能你会很懵逼,我为什么要了解这个,不处理又有什么问题呢?
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CSRF在 2007 年的时候曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失。

跨站请求伪造(XSRF/CSRF)的场景

这里为了加深大家对“跨站请求伪造(XSRF/CSRF)”的理解可以看如下所示的图:

如上图所示:

  1. 用户浏览位于目标服务器 A 的网站。并通过登录验证。

  2. 获取到 cookie_session_id,保存到浏览器 cookie 中。

  3. 在未登出服务器 A ,并在 session_id 失效前用户浏览位于 hacked server B 上的网站。ASP.NET Core MVC是如何处理跨站请求伪造(XSRF/CSRF)的?

ASP.NET Core MVC是如何处理跨站请求伪造(XSRF/CSRF)的?

        [ValidateAntiForgeryToken]、[AutoValidateAntiforgeryToken]、[IgnoreAntiforgeryToken]

ValidateAntiForgeryToken实质上是一个过滤器,可应用到单个操作,控制器或全局范围内。除了具有IgnoreAntiforgeryToken属性的操作,否则所有应用了这个属性的Action都会进行防伪验证。如下所示:

C#复制

[HttpPost]
[ValidateAntiForgeryToken]
public async Task<IActionResult> RemoveLogin(RemoveLoginViewModel account)
{
    ManageMessageId? message = ManageMessageId.Error;
    var user = await GetCurrentUserAsync();

    if (user != null)
    {
        var result = 
            await _userManager.RemoveLoginAsync(
                user, account.LoginProvider, account.ProviderKey);

        if (result.Succeeded)
        {
            await _signInManager.SignInAsync(user, isPersistent: false);
            message = ManageMessageId.RemoveLoginSuccess;
        }
    }

    return RedirectToAction(nameof(ManageLogins), new { Message = message });
}

ValidateAntiForgeryToken属性所修饰的操作方法包括 HTTP GET 都需要一个Token进行验证。 如果ValidateAntiForgeryToken特性应用于应用程序的控制器上,则可以应用IgnoreAntiforgeryToken来对它进行重载以便忽略此验证过程。

 

  <script>
        function btnSubmit() {
                $.ajax({
                    type: "Post",
                    url: "/manager/menuedit",
                    data: {__RequestVerificationToken: $("input[name='__RequestVerificationToken']").val()},
                    headers: {
                        "X-CSRF-TOKEN": '@GetAntiXsrfRequestToken()'
                    },
                    dataType: "html",
                    success: function (ret) {
                        alert(JSON.stringify(ret));
                    },
                        error: function (err, scnd) {
                            alert(err.statusText);
                        }
                });
        }
    </script>
 <form>
        @Html.AntiForgeryToken()
        <input type="button" onclick="btnSubmit()" value="提交 " />

    </form>


 

chengmodelong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止 xss 攻击跨站脚本攻击);CSRF跨站请求伪造
weixin_44441196的博客
02-07 87
1.对传入的值进行encodeUrl 2.前端在页面上展示时,将字符进行转义 转义的方法 const fn = () => { return str.replace(/&/g, '&amp;') .replace(/"/g, '&quot;') .replace(/'/g, '&apos;') .replace(/</g, '&lt;') .replace(/>/g, '&gt;') } ...
跨站请求伪造攻击(CSRF)的预防
my_one_piece的博客
09-30 652
跨站请求伪造攻击(CSRF)的预防 问题及解决思路 名词解释: 表单:泛指浏览器端用于客户端提交数据的形式;包括a标签、ajax提交数据、form表单提交数据等,而非对等于HTML中的form标签。 跨站请求伪造CSRF,Cross-site request forgery)是另一种常见的攻击攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据或执行
ASP.NET Core 防止跨站请求伪造XSRF/CSRF攻击
weixin_30338497的博客
08-31 688
什么是反伪造攻击? 跨站请求伪造(也称为XSRFCSRF,发音为see-surf)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互。这种攻击是完全有可能的,因为Web浏览器会自动在每一个请求中发送某些身份验证令牌到请求网站。这种攻击形式也被称为 一键式攻击 或 会话控制 ,因为攻击利用了用户以前认证的会话。 CSRF攻击的示例: 用户登录 www.e...
asp html表单没有csrf保护,CSRF在ASP.NET Core中的处理方法详解
weixin_39857792的博客
06-28 446
前言前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。在梳理之前,还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。那么什么是CSRF呢?CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Sessi...
ASP.NET 使用Ajax请求带有验证[ValidateAntiForgeryToken]的Controller方法
学者-微风
06-03 548
AJAX Posting ValidateAntiForgeryToken without Form to MVC Action Method Controller中的代码 [HttpPost] [ValidateAntiForgeryToken]// 对Ajax请求的方法添加验证 [UserAuthorizeAttribute] public ActionResult SetDefault(int? id) {
asp.net 网站 防止CSRF攻击 使用 ValidateAntiForgeryToken
LYBWWP
10-21 589
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   
Html.AntiForgeryToken 防止伪造提交
weixin_30293079的博客
07-14 138
原文发布时间为:2011-05-03 —— 来源于本人的百度文章 [由搬家工具导入]In this tutorial, I am not going to discuss the concept in-depth since they have done such a fantastic job. Instead, I want to show how you can easily incorpo...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
csrf:gorillacsrf为Go Web应用程序和服务提供跨站请求伪造CSRF)预防中间件:locked:
02-06
这包括: csrf.Protect中间件/处理程序在连接到路由器或子路由器的路由上提供CSRF保护。 一个csrf.Token函数,该函数提供传递到您的响应中的令牌,无论该令牌是HTML表单还是JSON响应正文。 ...和一个csrf....
mod_csrf:防止跨站请求伪造的 Apache 模块。-开源
05-30
跨站请求伪造(Cross-Site Request Forgery,简称 CSRFXSRF)是一种网络攻击方式,它利用了用户浏览器已经存储的登录凭证,如Cookie,来执行非授权的操作。这种攻击常见于Web应用中,使得攻击者能够在用户不...
DneustadtCsrfCookieBundle:Symfony捆绑包,可为客户端应用程序提供跨站请求伪造CSRFXSRF)保护
02-04
该捆绑包为客户端应用程序提供(CSRFXSRF)保护,该客户端应用程序通过XHR请求由Symfony提供的端点。 在很大程度上受到影响和启发 要求 Symfony> = 5.x 工作方式 为了存储CSRF令牌客户端,可以通过一个或多个预定...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRFCSRF 攻击可以盗用用户的身份,以用户的名义发送恶意请求,造成的问题包括:个人...
mvc 当中 [ValidateAntiForgeryToken] 的作用及用法
极客神殿
08-29 3521
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
.NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造XSRF/CSRF攻击处理...
依乐祝的博客
01-06 692
.NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造XSRF/CSRF攻击处理 通过 ASP.NET Core,开发者可轻松配置和管理其应用的安全性。 ASP.NET Core 中包含管理身份验证、授权、数据保护、SSL 强制、应用机密、请求防伪保护及 CORS 管理等等安全方面的处理。 通过这些安全功能,可以生成安全可靠的 ...
ASP.NET Core Razor页面禁用防伪令牌验证
dotNET跨平台
02-02 1250
这篇短文中,我将向您介绍如何ASP.NET Core Razor页面中禁用防伪令牌验证。Razor页面是ASP.NET Core 2.0中增加的一个页面控制器框架,用于构建动态的、数据驱动的网站;支持跨平台开发,可以部署到Windows,Unix和Mac操作系统。跨站请求伪造(也称为XSRFCSRF)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互。这
为ABP新增手机验证模块
黄灯桥的专栏
01-11 953
当前手机验证基本是标配,但Abp自身并没有实现这个功能,于是有了通过自定义模块实现的想法。
.NET CORE防止CSRF跨站请求伪造
qq_18932003的博客
08-28 250
可以加特性ValidateAntiForgeryToken实现,还可以配合一个ActionName 比如微软.NET CORE官方的一个案例中 [HttpGet,ActionName("Delete")] [ValidateAntiForgeryToken] publicasyncTask<IActionResult>DeleteConfirmed(intid) { varstudent=await_context.Students.FindA...
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 437
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
找到了多个与名为“Home”的控制器匹配的类型
热门推荐
chengmodelong的专栏
12-12 1万+
问题: “/”应用程序中的服务器错误。 找到了多个与名为“Home”的控制器匹配的类型。如果为此请求(“{controller}/{action}/{id}”)提供服务的路由没有指定命名空间来搜索匹配此请求的 解决: MVC中的Area的区域的时候,在一个Area中定义了一个Home控制器,在启动的时候, 找到多个与名为“Home”的控制器匹配的类型。如果为此请求(“{controller
客户端支持防止csrf/xsrf(跨域请求伪造)
最新发布
09-15
客户端支持防止CSRF/XSRF跨站请求伪造)的方法主要包括以下几种: 1. 验证码:在敏感操作如支付、修改密码等环节,向用户发送验证码,要求用户输入正确的验证码后才允许进行操作。这样可以有效防止CSRF攻击,因为攻击者无法获取有效的验证码。 2. Token验证:在用户登录时生成一个随机的Token,并将其储存在Session或Cookie中,每次向服务器发起请求时都需要将该Token一同发送。服务器接收到请求后会校验Token的合法性,如果无效则拒绝该请求。这可以防止CSRF攻击者盗用用户身份发起恶意请求。 3. Referer检查:在HTTP头部中会包含Referer字段,用于表示请求来源。服务器可以根据Referer字段的值判断请求是否来自合法来源,如果不是则拒绝请求。但需要注意的是,Referer字段不是必须的,而且可能被篡改,因此这种方法并不是绝对可靠。 4. SameSite Cookie属性:使用SameSite属性可以限制Cookie的发送,使其只在同一站点下请求时才会被发送。这样可以防止跨域请求中Cookie的被盗用。但需要注意的是,SameSite属性支持程度不同浏览器有所差异,不同浏览器可能需要额外的配置或使用其他方法来提供更好的保护。 总体而言,以上几种方法并非绝对安全,各自有一定的局限性。因此,最好的防范方法是综合使用多种防护措施,加强客户端和服务端的安全防护。此外,开发人员还应持续关注最新的安全技术和漏洞情报,及时更新和修复系统,确保用户数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值