跨网站页面请求的验证方式

最新推荐文章于 2021-12-09 09:59:50 发布
最新推荐文章于 2021-12-09 09:59:50 发布
阅读量1.7k 收藏
点赞数
分类专栏: .NET 文章标签: string function 加密 authentication validation asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dutguoyi/article/details/554517
版权
本文介绍了一种在A网站调用需要身份验证的B网站页面的方法,通过在URL中传递加密后的数据来确保安全性。关键步骤包括在A、B网站的web.config中设置相同的machineKey,以及实现加密和解密功能。该方法适用于不同服务器上的网站,但需要注意Session的一致性和信道的安全性,如使用SSL。后续部分将讨论如何保护加密密钥。
摘要由CSDN通过智能技术生成

一、最初想法

最近由于项目的原因需要实现功能是:A网站调用B网站上一个需要用户身份验证的页面。

在Csdn上得到了很多热心朋友的帮忙:http://community.csdn.net/Expert/topic/4416/4416588.xml?temp=.2847711    在此表示衷心的感谢。谢谢大家

由于条件的限制:不同的网站可能放在不同的服务器上。经过了一段时间的尝试,最后还是借鉴了《ASP.NET安全性高级编程》中的方法,采用URL传递加密后的数据来实现。

过程简介

主要过程如上图,A网站调用B网站页面,需要进行的调整是

1. web.config

<authentication mode="Forms" /> 
<machineKey validationKey="528F0C3C7E4F2038FF052310B64F26F52937A44889D079536A0BBCF5BE953921145A5A1ABCC5ED5D929B6073B9646CA1DC352C025818F025C51BC417C84D2C58" decryptionKey="4A31494C3B1559AD910643E15C26D1CF689A83B2A63E4AA7"
    validation="SHA1"/>

最低0.47元/天 解锁文章
新鲜鱼排
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web渗透(四)请求伪造CSRF
weixin_39157582的博客
08-27 202
请求伪造CSRF1、CSRF简介2、CSRF原理3、分类4、防御(1)验证HTTP Referer字段(2)在请求地址中添加token并验证(3)在HTTP头中自定义属性并验证 1、CSRF简介 CSRF(Cross-Site request forgery),中文名称:请求伪造。CSRF通过伪装来自受信任用户请求来利用受信任的网站。 CSRF可以做什么 可以这么理解CSRF攻击,攻击者盗用了你的身份,以你的名义来发送恶意请求。CSRF能够做的事情包括:以你的名义发送邮件,发消息,盗取你的账号,甚
php漏洞之网站请求伪造与防止伪造方法
10-26
攻击者通常会创建一个包含伪造请求的网页或邮件,诱使用户点击或者无意中访问,这个请求可能指向受害者已经登录过的网站,利用用户的已认证身份执行恶意操作。例如,攻击者可能会创建一个链接或隐藏的表单,让受害者...
用户鉴权的三种方式,Cookie、Cookie+Session、Token
Vgbire的博客
05-03 3479
      一个网站用户对动态的评论、置顶等等操作,服务器都需要对客户端验证是否有用户登录,如果无用户登录则提示用户跳转到登录页面进行登录。       但是HTTP协议是无状态,一次请求对应一个响应,后续的系统操作,需要重新请求服务器。也就是说服务器无法识别客户端请求属于哪个用......
关于页提交与验证控件的问题
weixin_30439131的博客
07-27 85
问题来源 a.aspx是一个注册页面.它上面有一个检测用户名格式的正则表达式控件(RegularExpressionValidator),一个检测用户名是否存在的用户自定义控件(CustomValidator).正则表达式控件的客户端验证是关闭的,如果注册成功后就提交到b.aspx,我把一个服务器按钮的PostBackUrl="~/b.aspx"但出现问题了:当用户名不合法或者用户已经存在的情...
站点的请求(web)
weixin_34415923的博客
11-21 303
恶意网站针对用户可能登陆的某个站点实施站点攻击,在用户不知情情况下,让用户做了某些非本意的操作。 一般情况,服务端对每个请求除了验证session,还应对除特殊几个请求外的其它请求验证请求中唯一标识。一般使用服务端返回的jsessionId放在请求中。 这个jsessionId存在于客户端浏览器的内存中,不知恶意网站js是否可以获取用户正在访问应用的这个jsessionId,若是可以,那不...
如何请求
qq_45475788的博客
12-09 1075
例子:a网站有一个发布文章的页面,文章在网站中任何人都可以看;一般用富文本编辑器时,都会直接禁止使用html,但是黑客可以在控制台,对富文本编辑器进行操作,比如写一个form表单提交,提交内容就是获取用户cookie,发送到b网站后台(黑客自己的服务器);那么他在控制台直接进行ajax提交后,当有其他用户访问这个文章时,就用执行js,获取该用户的cookie,然后发送到自己服务器,此时他就会得到很多用户的cookie ...
网站请求伪造攻击
weixin_33828101的博客
04-11 165
2019独角兽企业重金招聘Python工程师标准>>> ...
CSRF(请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。...在请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
09-18
在Django框架中,CSRF(Cross-Site Request Forgery,请求伪造)保护是一种防止恶意用户网站进行请求伪造攻击的机制。Django默认启用了CSRF保护,它要求所有的POST请求都必须携带一个有效的CSRF令牌。然而...
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个**新的TAB页访问网站B**; 4. 网站B接收到用户...
探讨请求资源的几种方式(总结)
09-01
请求资源是Web开发中常见的一类问题,由于浏览器的同源策略限制,JavaScript只能访问与当前页面同源(相同协议、域名和端口)的资源。为了解决这个问题,开发者采用了一些策略来实现请求。以下是几种常见的...
网站请求解决方案
weixin_45017862的博客
07-12 165
第一节-彻底解决网站请求问题引入 第二节-网站域项目环境搭建题) 第三节-模拟网站域问题演示 第四节-网站域五种解决方案 第五节-使用jsonp解决网站域问题 第六节-使用httpclient内部转发解决域问题 第七节-使用Nginx搭建API网关 第八节-Nginx网关配置解决域问题 第九节-使用Zuul网关解决域问题 ...
整合多个网站的身份验证
bukebuhao的专栏
05-24 260
随着业务的发展,公司的部署的网站越来越多,有必要整合多个网站用户,采用统一的验证方式。目前想到的解决方案,主要有以下几种. 1.seo解决方案,部署独立的用户验证系统,利用cookie的保存登录ticket的基本思路,网上有很多种解决方案,有的过于复杂,需要配置很多东西,有的过于局限,只支持单一的语言。不知道各位有哪些比较好的解决方案,适合项目不是太多,配置不是太烦,支持多中语言,例如java...
PHP漏洞全解(六)-网站请求伪造
iteye_18785的博客
10-06 111
CSRF(Cross Site Request Forgeries),意为网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站网站执行此请 求后,引发请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法 权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达...
网络安全-请求伪造(CSRF)的原理、攻击及防御
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
八种方式实现请求
热门推荐
李刚的学习专栏
06-11 8万+
前端开发中我们经常会遇到请求的情况,处理请求方式很多,特整理如下: 浏览器的同源策略​ 提到域不能不先说一下”同源策略”。 ​ 何为同源?只有当协议、端口、和域名都相同的页面,则两个页面具有相同的源。只要网站的 协议名protocol、 主机host、 端口号port 这三个中的任意一个不同,网站间的数据请求与传输便构成了域调用,会受到同源策略的限制。 ​ 同源策略限制从
站登录(一站式登录)认证的解决办法 (转http://apps.hi.baidu.com/share/detail/20230305)
fjfdszj的专栏
02-15 2905
<br />关键在于web.config,如下面所示,粗体标识的地方,多个网站的web.config设置一定要相同,这样才能保证在一个站点上登录后,另一个站点继续获取认证信息,当然validationKey的值可自行定义,但要符合规范(可以借助public/password.aspx工具来生成)<br />*********web.config************************************************************<br /><?xml version="1.
【PHP-漏洞之一】网站请求伪造
Chanson
04-25 518
攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站网站执行此请求后,引发请求伪造攻击。 攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。 例如:某个购物网站购买商品时,采用http://www.taobao.com/gouma
JWT实现域登录校验
weixin_39314420的博客
04-03 672
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
请求伪造 CSRF的原理与利用
最新发布
05-13
攻击者利用 CSRF 的原理是,利用目标网站的认证机制,获取到用户的登录凭证,然后伪造一个包含恶意操作的网页请求,将这个请求发送给目标网站。由于目标网站无法区分是用户自己的请求还是攻击者伪造的请求,所以就会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值