阻止 ASP.NET MVC 应用程序中的跨站点请求伪造(CSRF)攻击 防伪令牌

最新推荐文章于 2024-07-09 00:22:30 发布
最新推荐文章于 2024-07-09 00:22:30 发布
阅读量469 收藏
点赞数
分类专栏: C# WEB前端 MVC4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/easyboot/article/details/104915406
版权
WEB前端 同时被 3 个专栏收录
111 篇文章 2 订阅
订阅专栏
C#
87 篇文章 0 订阅
订阅专栏
MVC4
31 篇文章 0 订阅
订阅专栏

目前我还没有弄明白CSRF的问题,按我的理解

在页面中使用  @Html.AntiForgeryToken()

在controller层加入[ValidateAntiForgeryToken]标签

就应该OK了

但是这样我的程序总是提示  所需的防伪表单字段“__RequestVerificationToken”不存在

找了很多博客,不是长篇大论,就是不清楚

最后在微软官网查到

https://docs.microsoft.com/zh-cn/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks

感觉讲的比较简单明了

下面是我的代码,如果大家有更好的方法请给我留言!

JS代码如下   
 <script>
    @functions{
        public string TokenHeaderValue()
        {
            string cookieToken, formToken;
            AntiForgery.GetTokens(null, out cookieToken, out formToken);
            return cookieToken + ":" + formToken;
        }
    }

    $(function () { 
        getLanguageID()
    }); 

    function getLanguageID() {
    
        var LanguageID = localStorage.getItem("LanguageID");
        $('#SelectLanguage').val(LanguageID); 
 
        $.ajax({
            type: 'POST',
            url: '@Url.Action("SetLanguageID","Login")',
            headers: {
            'RequestVerificationToken': '@TokenHeaderValue()'
            },
            //contentType: "application/json; charset=utf-8",
            data: { 
                LanguageID: LanguageID,
            },
 
            async: false,
            dataType: "json",
            success: function (data) {
                console.log(data)
               // window.location.href = "/Login/Login";
             },
            error: function (message) {
                   // alert(message);
             }
        });
    }
 
 
    </script>

 

 

using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using System.Web;
using System.Web.Mvc;
using com.aaa.DAL2;
using com.aaa.ViewModels;

namespace aaa.Platform.WEB.Controllers
{    
    public class LoginController : BaseController
    {
        //
        // GET: /Login/ 
        [HttpGet]
        public  ActionResult Login()
        {
            return View();
        } 

        [HttpPost]
        [MyValidateAntiForgeryToken]
 
        public JsonResult SetLanguageID(LanguageModels lm)
        { 
            com.aaa.DAL2.User.SetLanguageID(lm);
            return Json("");
        } 
    }
}

using System;
using System.Collections.Generic;
using System.Net;
using System.Web;
using System.Web.Helpers;
using System.Web.Mvc;
using System.Linq;
using System.Net.Http;

namespace aaa.Platform.WEB.Controllers
{  
    public class BaseController : Controller
    {   
    }

    public class MyValidateAntiForgeryToken : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        { 
            var request = filterContext.HttpContext.Request;
            var response = filterContext.HttpContext.Response;
            if (request.HttpMethod == WebRequestMethods.Http.Post)
            {
                if (request.IsAjaxRequest())
                { 

                    string cookieToken = "";
                    string formToken = "";

                    string[] tokens = request.Headers.GetValues("RequestVerificationToken").First().Split(':');
                    if (tokens.Length == 2)
                    {
                        cookieToken = tokens[0].Trim();
                        formToken = tokens[1].Trim();
                    }
            
                    AntiForgery.Validate(cookieToken, formToken); 
          
                }
                else
                {
                    new ValidateAntiForgeryTokenAttribute()
                     .OnAuthorization(filterContext);
                }
            }
        } 
    } 
}

 下面的代码是我这里调试成功的

现在发现最关键的地方是ajax的 data 中要有 __RequestVerificationToken:token, 加在header中的不起作用

  function setLanguageID() {
        var token = $('[name="__RequestVerificationToken"]').val();
        var LanguageID = $('#SelectLanguage').val();
        console.log(LanguageID) 
        localStorage.setItem("LanguageID",LanguageID)

 

        $.ajax({
            type: 'POST',
            url: '@Url.Action("SetLanguageID","Login")',
 
            data: {
                __RequestVerificationToken:token,
                LanguageID: LanguageID,
            },
 
            async: false,
            dataType: "json",
            success: function (data) {
                console.log(data);
                window.location.href = "/Login/Login";
            },
            error: function (message) {
                // alert(message);
            }
        });

    }
这里是controller代码
 
       [HttpPost]
        [ValidateAntiForgeryToken]
        public JsonResult SetLanguageID(LanguageModels lm)
        { 
            com.canmax.DAL2.User.SetLanguageID(lm);
            return Json("");
        }


下面是LanguageModels类要有__RequestVerificationToken即可
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;

namespace com.aaa.ViewModels
{
    public class LanguageModels
    {
        public int ID { get; set; }
        public string LanguageID { get;set;}
        public string ItemID { get; set; }
        public string ItemText { get; set; }
        public string __RequestVerificationToken { get; set; }
        
    }
 
}

 

easyboot
关注
专栏目录
Asp.net MVC CSRF攻击防御,添加防伪令牌
a616724623的博客
03-27 1949
第一步:页面加上令牌页面加上@Html.AntiForgeryToken(),它会在页面生成一个请求令牌,当然cookie也有一个,不需要管它第二步:请求带上令牌请求的数据里面加上这个令牌,可以在from里面直接加上@Html.AntiForgeryToken(),如果是ajax请求,那就在参数里面加上这个题外:        因为我接手的是一个已经做得差不多的项目,不可能去每个ajax里面去...
ASP.NET Web API 启用请求,防止站点请求伪造 (CSRF) 攻击
NARUTONEPIECE的博客
08-19 486
ASP.NET Web API 启用请求, 防止 ASP.NET 应用程序站点请求伪造 (CSRF) 攻击
浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
ASP.NET MVC防止请求攻击(CSRF)
weixin_30505225的博客
08-19 364
转载 http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET MVC 裡為了要防止 CSRF (Cross-Site Request Forgery) 站偽造請求的攻擊,我們可以在 View 的表單加入「@Html.AntiForgeryToken」然後在對...
asp.netWebForm(.netFramework) CSRF漏洞
最新发布
qq_43893277的博客
07-09 530
CSRF(Cross-Site Request Forgery请求伪造是一种常见的 Web 应用程序安全漏洞,攻击者通过诱使已认证用户在受信任的网站上执行恶意操作,从而利用用户的身份执行未经授权的操作。攻击者通常会在第三方网站上植入恶意代码或链接,当用户访问这些网站时,恶意请求会被发送到目标网站,利用用户的身份执行操作,如更改密码、转账等。CSRF 漏洞可能导致以下安全问题:未经授权的操作:攻击者可以利用 CSRF 漏洞执行未经授权的操作,如更改用户密码、删除账户等。
ASP.NET MVC 防止请求伪造CSRF攻击的方法
weixin_30883271的博客
11-20 358
在HTTP POST请求,我们多次在View和Controller看下如下代码: View调用了Html.AntiForgeryToken()。 Controller的方法添加了[ValidateAntiForgeryToken]注解。 这样看似一对的写法其实是为了避免引入请求伪造CSRF攻击。 这种攻击形式大概在2001年才为人们所认知,2006年美国在线影片租赁...
我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止站点请求伪造 (CSRF) ***
weixin_34417183的博客
09-18 252
我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止站点请求伪造 (CSRF) ***概述众所周知,ASP.Net MVC程序在浏览器运行时产生了标准的Html标签,包括浏览器要发送的关键数据等内容都在Html内容里面,听起来不错,但是假如我们仿造类似的Html内容,更改里面关键数据,在浏览器运行起来会怎么样呢?好下面我们就做这样一个例子。...
asp.net 网站 防止CSRF攻击 使用 ValidateAntiForgeryToken
LYBWWP
10-21 611
一.CSRF是什么?   CSRF(Cross-site request forgery),文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   
ASP.NET编程知识】浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法.docx
05-21
浅谈 ASP.NET MVC 防止请求伪造CSRF攻击的...本文档对 ASP.NET MVC 防止请求伪造CSRF攻击的实现方法进行了详细的探讨,并提供了一个示例来演示 CSRF 攻击的原理和危害,以及防止 CSRF 攻击的方法。
防止MVC应用程序受到站点请求伪造攻击
04-05
请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见的网络安全威胁,它针对的是用户已经登录并保持会话状态的Web应用程序。在ASP.NET MVC框架,开发人员需要采取措施来防止这种攻击,确保用户的操作...
ASP.NET编程知识】浅谈ASP.NET MVC应用程序的安全性.docx
05-21
- **AntiForgeryToken**:防止请求伪造CSRF攻击,通过生成和验证令牌来确保请求来自合法源。 - **模型绑定和验证**:利用DataAnnotations和ModelBinder进行输入验证。 - **安全的路由**:避免硬编码URL,...
ASP.NET MVC Ajax 伪造请求
weixin_30659829的博客
07-02 128
1.前言 CSRF(Cross-site request forgery请求伪造ASP.NET MVC 应用通过使用AJAX请求来提升用户体验,浏览器开发者工具可以一览众山小,就很容易伪造请求对应用进行攻击,从而泄露核心数据,导致安全问题。微软自带AntiForgeryToken可以解决,而且语法简单(AJAX请求发起时传递给后台一个字符串,然后在Filter进行...
ASP.NET MVC 拦截器(转)
GeneralXCK的专栏
01-05 818
     本文将对“MVC公告发布系统”的发布公告功能添加日志功能和异常处理功能,借此来讨论ASP.NET MVC拦截器的使用方法。一个小难题   我们继续完善“MVC公告发布系统”,这次,我们的需求是对公告发布功能添加日志记录能力,即在发布公告前,记录一次,在公告发布成功后,再记录一次。然后还要使得其具备异常处理,即当业务组件出现问题时,跳转到相应的错误页面并显示相应提示
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 458
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
ASP.NET MVC 使用防伪令牌来避免CSRF攻击
机械键盘侠博客
06-24 787
本文转自这篇文章 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=...
请求伪造
weixin_30387663的博客
01-04 139
1. 什么是请求伪造CSRF)  CSRF(Cross-site request forgery请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来...
axios发送请求,后端报错:所需的防伪表单字段“__RequestVerificationToken”不存在
高彬的专栏
04-23 2154
后端使用.net mvc开发,前端使用axios发送post请求遇到错误:所需的防伪表单字段“__RequestVerificationToken”不存在。 看到此提示我们知道原因是:MVC攻击CSRF)安全机制获取不到__RequestVerificationToken。但是不知道axios如何传参才能拿后端的安全机制获取到,百度各种搜索半天后扔未果,后来想办法 google,秒获答案 (谷歌真不是吹的,牛!!),虽然不是正面解决,但解决方案依然很满意 、很优秀,解决方法如下: 1、新建一个过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值