MVC中的CSRF解决方案

最新推荐文章于 2024-05-07 16:45:26 发布
最新推荐文章于 2024-05-07 16:45:26 发布
阅读量22 收藏
点赞数
文章标签: mvc csrf javascript ajax jquery
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyang545/article/details/130696432
版权

我们使用Ajax访问请求的时候,攻击者可能盗用了用户身份,以用户合法身份发送恶意请求。

具体预防措施,

1、在Html表单里面使用@Html.AntiForgeryToken(),这玩意会生成一对加密的字符串,分别存放在Cookies 和 input 中。

  可以获取到,var token = $('@Html.AntiForgeryToken()').val();

2、在Controller中加入[ValidateAntiForgeryToken]过滤特性。

3、在JS中使用: $.ajaxAntiForgery才行,或者$.ajax中添加Header属性,或者在项目中引用<script src="@Url.Content("~/Content/js/jqueryToken-1.4.2.js")" type="text/javascript"></script>

var headers = {};
headers["__RequestVerificationToken"] = token;
$.ajax({
                type: 'POST',
                url: '/Home/Index',
                cache: false,
                headers: headers,
                data: { Name: "yangwen", Age: "1" },
                success: function (data) {
                    alert(data)
                },
                error: function () {
                    alert("Error")
                }
            });
View Code

或者封装一个Jquery方法:

(function ($) {
    $.getAntiForgeryToken = function (tokenWindow, appPath) {
        // HtmlHelper.AntiForgeryToken() must be invoked to print the token.
        tokenWindow = tokenWindow && typeof tokenWindow === typeof window ? tokenWindow : window;

        appPath = appPath && typeof appPath === "string" ? "_" + appPath.toString() : "";
        // The name attribute is either __RequestVerificationToken,
        // or __RequestVerificationToken_{appPath}.
        var tokenName = "__RequestVerificationToken" + appPath;
        var inputElements = tokenWindow.document.getElementsByTagName("input");
        for (var i = 0; i < inputElements.length; i++) {
            var inputElement = inputElements[i];
            if (inputElement.type === "hidden" && inputElement.name === tokenName) {
                return {
                    name: tokenName,
                    value: inputElement.value
                };
            }
        }
    };

    $.appendAntiForgeryToken = function (data, token) {
        // Converts data if not already a string.
        if (data && typeof data !== "string") {
            data = $.param(data);
        }

        // Gets token from current window by default.
        token = token ? token : $.getAntiForgeryToken(); // $.getAntiForgeryToken(window).

        data = data ? data + "&" : "";
        // If token exists, appends {token.name}={token.value} to data.
        return token ? data + encodeURIComponent(token.name) + "=" + encodeURIComponent(token.value) : data;
    };

    // Wraps $.post(url, data, callback, type) for most common scenarios.
    $.postAntiForgery = function (url, data, callback, type) {
        return $.post(url, $.appendAntiForgeryToken(data), callback, type);
    };

    // Wraps $.ajax(settings).
    $.ajaxAntiForgery = function (settings) {
        // Supports more options than $.ajax(): 
        // settings.token, settings.tokenWindow, settings.appPath.
        var token = settings.token ? settings.token : $.getAntiForgeryToken(settings.tokenWindow, settings.appPath);
        settings.data = $.appendAntiForgeryToken(settings.data, token);
        return $.ajax(settings);
    };
})(jQuery);
View Code
枝柳飞扬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
djangoCSRF的问题及解决
06-05
CSRF是Cross Site Request Forgery的缩写,称其为“跨站请求伪造”。常与XSS想提并论,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以有时候被认为比XSS更具危险性。
fenris:通用应用程序渲染和CSRF解决方案
03-20
芬里斯 一个用于渲染通用react + redux应用程序的帮助程序库。 使用naglfar进行服务器/客户端视图路由,并导出所有模块方法。 服务器端渲染 通过已签名的到期CSRF令牌进行CSRF保护 基于Redux的路由器( naglfar ) 服务器不可知 SSR CSS-in-JS挂钩 客户端和服务器缓存数据和呈现的html 通过react-helmet完全控制呈现的html belowTheFold组件用于SSR优化 如何使用 通过npm i fenris安装。 应用程序路线示例 import { routeFragment , routeRedirect } from 'fenris' import { getUsers , getUser } from './actions' routeRedirect ( '/user' , '/' ) export const HomeR
Django CSRF认证的几种解决方案
01-21
什么是CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF攻击,因为浏览器不会停止js发送请求到服务端,只是在必要的时候拦截了响应的内容。或者说浏览器收到响应之前它不知道该不该拒绝。 攻击过程 用户登陆A网站后,攻击者自己开发一个B网站,这个网站会通过js请求A网站,比如用户点击了某个按钮,就触发了js的执行。 防止攻击 Double Submit Cookie 攻击者是利用cookie随着http请求发送的特性来攻击。但攻击
Djangoajax发送post请求 报403错误CSRF验证失败解决方案
12-31
前言 今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末已经更新更简单的方法,上面的略显麻烦 上网上查了一下,看了几个别人的博客,才知道官网也早有说明解决办法,大致流程就是: 就是新建一个JavaScript文件,然后把网上给的代码粘贴进去,然后在你使用ajax的页面把它引入一下;当然,如果你在网上找到的解决代码包含JQuery的话,那就需要在引入的JQuery之后引入了(毕竟解决代码不唯一,网
ASP.NET MVC防止跨站请求攻击(CSRF)
weixin_30505225的博客
08-19 342
转载 http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET MVC 裡為了要防止 CSRF (Cross-Site Request Forgery) 跨站偽造請求的攻擊,我們可以在 View 的表單加入「@Html.AntiForgeryToken」然後在對...
ASP.NET MVC防范CSRF最佳实践
anw53724的博客
01-05 165
XSS与CSRF 哈哈,有点标题党,但我保证这篇文章跟别的不太一样。 我认为,网站安全的基础有三块: 防范间人攻击 防范XSS 防范CSRF 注意,我讲的是基础,如果更高级点的话可以考虑防范机器人刷单,再高级点就防范DDoS攻击,不过我们还是回到“基础”这个话题上吧,对于间人攻击,使用HTTPS是正确且唯一的做法,其它都是歪门邪道,最好还要购买各个浏览器都承认的S...
关于CSRF攻击及mvc解决方案 [ValidateAntiForgeryToken]
流年轻逝
08-23 725
一.CSRF是什么?   CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
csrf 生成java,一种在SpirngMVC3防御CSRF攻击的实现
weixin_39593718的博客
03-12 209
关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下防御CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。一、方案概要在服务器端生成私有的会话级token,使用Velocity的宏命令在客户端的Form表单插入这...
再谈Spring MVC对于CSRF攻击的防御
05-19 2802
在Spring MVC应用实施CSRF防御,一般会采用EYAL LUPU的方案,该方案的基本思路是在生成表单时在其插入一个随机数作为签名,在表单提交后对其的签名进行验证,根据验证的结果区分该表单是否是经由应用签署的合法表单。如果签名不正确或不存在签名,则说明请求可能已被劫持。 EYAL LUPU方案的巧妙之处在于,通过使用HandlerInterceptorAdapter和Sp
asp html表单没有csrf保护,ASP.NET MVC 和网页的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 432
ASP.NET MVC 和网页的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET 的表单身份验证...
SpringMVC的跨域请求配置解决方案
禅与计算机程序设计艺术
08-05 1384
跨域(Cross-origin resource sharing)是由一个资源从一个域名访问另一个不同的域名而发生的一种行为。由于同源策略的限制,默认情况下浏览器禁止从不同域向当前域发送HTTP请求。跨域请求会受到各个浏览器厂商自己的处理方式不同,但浏览器为了保护用户信息不被盗用或篡改,一般都会阻止跨域请求,所以开发者需要在实际项目做一些额外的设置来允许跨域请求。以下就详细介绍一下Spring MVC对跨域请求的支持及其配置方法。
MVC Html.AntiForgeryToken() 防止CSRF攻击
u011927449的博客
07-28 276
转载博客:http://blog.csdn.net/cpytiger/article/details/8781457 (一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF
Spring官方提供【CSRF攻击】解决方案
qq_35040959的博客
01-16 1553
·Spring官方提供【CSRF攻击】解决方案
web 扫描漏洞:HTML form without CSRF protection 问题解决
dazhong2012的专栏
05-04 180
一.扫描工具:acunetix 二.问题描述 该漏洞主要是利用用户登录网站的session 或 cookie 信息,采用诱导链接,获取用户浏览器的相关session 或 cookie ,发送恶意请求或重复攻击; 三.解决方法 1.在提交浏览器表单信息时,增加 token 或 随机数 参数,并将 参数 写入到 session 信息;后台校验时,通过 对比 表单参数和 session 的参数的一致性,判断表单提交是否是来源于页面的正常请求。 jsp 页面代码如下: <%@ page language
vue快速入门(五十)重定向
不起眼小菜菜的博客
05-03 331
注释很详细,直接上代码……
bpmn-js推荐几款常用的插件
飞云先生
04-30 152
bpmn-js整体框架库的风格是以组件的方式进行实现的,这样的结构也更加便于我们更好的对其进行功能扩展,以及客制化功能实现。其实bpmn.io已经为我们实现了较多场景的组件的实现,了解对应组件的功能更能便于我们区分是否需要自己实现,降低重复造轮子的行为,提高开发效率,本篇文章主要是介绍常见的bpmn-js使用的组件库。
使用 js 类封装项目音频播放功能的工具方法utils
最新发布
qq_40868156的博客
05-07 104
封装音频播放功能的工具方法,js,es6,前端,工程化
表格隔行变色
weixin_54339833的博客
05-02 408
2.$(document).ready() 是 jQuery 的一个函数,它确保在文档结构(DOM)加载完成后执行指定的代码。与原生 JavaScript 的 window.onload 不同,$(document).ready() 会在 HTML 文档结构被加载和解析完成后立即执行,而无需等待样式表、图片和子框架的完成加载。if (index % 2 === 0) { // 偶数行。if (i % 2 === 0) { // 偶数行。// 可以省略,因为默认背景色通常是白色。
springbsecurity
08-26
Spring Security 是一个基于 Spring 框架的安全性解决方案,用于保护应用程序的资源和进行身份验证和授权。它提供了一种灵活而强大的方式来管理用户的身份验证、授权和访问控制。 Spring Security 提供了以下主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值