.Net Core 微服务实战 - 安全

最新推荐文章于 2024-02-14 13:21:37 发布
最新推荐文章于 2024-02-14 13:21:37 发布
阅读量281 收藏
点赞数 1
分类专栏: 微服务 .net core 微服务实战 .net core 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33649351/article/details/120648140
版权

安全

源码及系列文章目录

Git 源码https://github.com/tangsong1995/TS.Microservices
CSDN 资源https://download.csdn.net/download/qq_33649351/34675095

系列文章目录https://blog.csdn.net/qq_33649351/article/details/120998558

防跨站请求伪造

攻击过程

Browser GoodSite BadSite login set cookie 访问 伪造请求脚本 BadSite 伪造的请求 响应 Browser GoodSite BadSite

要素:

  • 用户已登录“GoodSite”
  • “GoodSite”通过 Cookie 存储和传递身份信息
  • 用户访问了“BadSite”

防御

  • 不使用 Cookie 来存储和传输身份信息,使用 JWT 或其他方式进行身份认证
  • 若使用了 Cookie ,使用 AntiforgeryToken 来防御
  • 避免使用 GET 作为业务操作的请求方法

AntiforgeryToken

Startup 中配置:

public void ConfigureServices(IServiceCollection services)
{
	...
    services.AddAntiforgery(options =>
    {
        options.HeaderName = "X-CSRF-TOKEN";
    });

    //开启全局AntiforgeryToken验证
    services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()));
	...
}

客户端需要在请求头加上 X-CSRF-TOKEN 传入 Cookie 的值,服务器会验证 header 的值与 Cookie 的值是否一致,如果不一致,会认为是非法请求。
若不想使用过滤器开启全局 AntiforgeryToken 验证,可以使用 [ValidateAntiForgeryToken] 和 [AutoValidateAntiforgeryToken] 标签对对接口开启 AntiforgeryToken 验证, [AutoValidateAntiforgeryToken] 对 get 请求不生效。

防开放重定向攻击

攻击过程

Attacker Browser GoodSite BadSite 恶意信息 访问带恶意重定向地址的登录页 响应登录页面 输入用户名密码 重定向至坏站点的响应 访问坏站点伪造登录页 响应伪造登录页 输入用户名密码 通知攻击者 重定向到好站点的响应 访问好站点 响应好站点 Attacker Browser GoodSite BadSite

要素:

  • “好站点”的重定向未验证目标 URL
  • 用户访问了“坏站点”

防御

  • 使用 LocalRedirect 来处理重定向
  • 验证重定向的目标域名是否合法
[HttpPost]
public async Task<IActionResult> Login(string returnUrl)
{
	// TODO : Login
    if (string.IsNullOrEmpty(returnUrl))
    {
        return Content("登录成功");
    }
    try
    {
        var uri = new Uri(returnUrl);
        //TODO : 验证 uri 是否有效
        return Redirect(returnUrl);
    }
    catch
    {
        return Redirect("/");
    }
}

防跨站脚本

攻击过程

Attacker GoodSite Browser BadSite 提交带有恶意脚本的内容 提交成功 访问带恶意脚本的内容页 响应带恶意脚本的页面 POST/GET提交好站点的身份信息 通知攻击者 任意响应 Attacker GoodSite Browser BadSite

防御

  • 对用户提交内容进行验证,拒绝恶意脚本
  • 对用户提交的内容进行编码 UrlEncoder、JavaScriptEncoder、UrlEncoder
  • 慎用 HtmlString 和 HtmlHelper.Raw
  • 身份信息 Cookie 设置为 HttpOnly
  • 避免使用 Path 传递带有不受信的字符,使用 Query 进行传递
public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
        .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
        {
            options.LoginPath = "/home/login";
            //options.Cookie.HttpOnly = true; //默认true
        });
	...
}

跨域请求

CORS

  • CORS 是浏览器允许跨域发起请求“君子协定”
  • 它是浏览器行为协议
  • 它并不会让服务器拒绝其它途径发起的 HTTP 请求
  • 开启时需要考虑是否存在被恶意网站攻击的情形

CORS 请求头

  • Origin 请求源
  • Access-Control-Request-Method 期望请求发起的请求方法
  • Access-Control-Request-Headers 期望请求发起的请求头

CORS 响应头

  • Access-Control-Allow-Origin 是否允许跨域
  • Access-Control-Allow-Credentials 是否允许携带身份认证信息
  • Access-Control-Expose-Headers 是否允许脚本访问响应头
  • Access-Control-Max-Age 有效时间
  • Access-Control-Allow-Methods 允许的请求方法
  • Access-Control-Allow-Headers 允许的请求头
默认支持的 Expose Headers
  • Cache-Control
  • Content-Language
  • Content-Type
  • Expires
  • Last-Modified
  • Pragma

CORS 过程

Browser a.com b.com 访问域名a.com 响应 发起对efg.com的跨域预检请求 允许访问 发起对efg.com的跨域请求 正常响应 Browser a.com b.com

启用 CORS

配置 CORS:

public void ConfigureServices(IServiceCollection services)
{
    ...
	services.AddCors(options =>
	{
	    options.AddPolicy("api", builder =>
	     {
	         builder.WithOrigins("https://localhost:5001").AllowAnyHeader().AllowCredentials().WithExposedHeaders("abc");
	
	         builder.SetIsOriginAllowed(orgin => true).AllowCredentials().AllowAnyHeader();
	     });
	});
	...
}

以上代码的意义为:

  • WithOrigins允许跨域的源是 “https://localhost:5001” ,
  • AllowAnyHeader 允许携带Header
  • AllowCredentials 允许携带身份认证信息
  • WithExposedHeaders 允许访问的响应头
  • SetIsOriginAllowed 批量设置

启用 CORS:

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
	...
    app.UseCors();
	...
}

在 api 上使用 [EnableCors(“api”)] 标签允许 CORS 。

Aoss丶
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.Net Core微服务分布式开发框架源码
10-13
一个轻量级的完全可以落地的微服务/分布式开发框架,同时也适用于单体架构系统的开发。支持经典三层与DDD架构开发模式、集成了一系列主流稳定的微服务配套技术栈。一个前后端分离的框架,前端基于Vue、后端基于.Net6构建。
.NET Core 必备安全措施
weixin_34195364的博客
11-13 265
.NET Core大大简化了.NET应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,本文目的是介绍如何创建更安全.NET Core应用程序。 1.在生产中使用HTTPS传输层安全性(TLS)是HTTPS的官方名称,你可能听说过它称为SSL(安全套接字层),SSL是已弃用的名称,TLS是一种加密协议,可通过计算机网络提供安全通信。其主要目标是确保计算机应用程序之间的...
.net Core Public API的安全实践
linjingyg的博客
12-05 264
     公开API的安全,其实更重要。   ?   一、API的安全   作为一个Dotnet Core的老司机,写API时,能兼顾到API的安全,这是一种优雅。   ?   通常,我们会用认证来保证API的安全,无敌的Authorize能解决我们很多的问题。   但是,总有一些场合,我们没办法用Authorize,而只能用匿名或不加验证的方式来访问。比方电商中查询SKU的列表并在前端展示,通常这个无关用户和权限,在完成API的时候,我们也不会加入认证Authorize。   这种..
【ASP.NET Core 基础知识】--安全性--防范常见攻击
最新发布
喵叔
02-14 1591
文章通过介绍常见的网络安全威胁,如跨站脚本(XSS)、SQL注入、CSRF等,并提供了相应的防御机制和实践建议。文章首先明确了不同攻击类型的原理和风险,然后详细解释了在ASP.NET Core中如何应对这些攻击,包括输入验证、输出编码、Content Security Policy(CSP)等防御措施。此外,文章还强调了敏感数据泄露的严重性,并提出了相应的保护措施。总的来说,本文全面解析了ASP.NET Core中防范常见攻击的重要性和方法,为开发人员提供了有益的指导和实践经验。
让你的ASP.NET Core应用程序更安全
weixin_30432007的博客
04-19 369
让你的ASP.NET Core应用程序更安全 对于ASP.NET Core应用程序,除了提供认证和授权机制来保证服务的安全性,还需要考虑下面的一些安全因素: CSRF 强制HTTPS 安全的HTTP Headers CSRF ASP.NET Core通过AntiForgeryToken来阻止CSRF攻击,一般来说,当用户做表单提交的时候,表单中隐藏的token也会被提交到服务端,与此同时coo...
如何使用 .NET Core 安全地加/解密文件
dotNET跨平台
03-18 563
前言由于客户网络安全限制,连接到互联网的设备不能访问内网。需要先从客户端应用中导出数据到文件,再将文件复制到U盘,最后通过内网机器上传数据。如何保证,在复制、传输过程中,文件的安全性?思路...
简单事务:.NET Core应用程序的微服务示例体系结构
寒冰屋的专栏
03-02 654
目录 介绍 应用架构 微服务设计 安全性:基于JWT令牌的身份验证 开发环境 技术 使用的开源工具 云平台服务 数据库设计 WebApi终端 通过API网关配置和访问终端 在微服务级别实现终端 解决方案结构 异常处理 数据库并发处理 Azure AppInsights:日志记录和监控 Swagger:API文档 Postman集合 如何运行应用程序 控制台应...
.Net Core 微服务实战 - 目录及源码
无名指的约定
07-08 595
目录 源码 目录 源码 Git 源码 :https://github.com/tangsong1995/TS.Microservices CSDN 资源 :https://download.csdn.net/download/qq_33649351/34675095目录 .Net Core 微服务实战 - 工程结构.Net Core 微服务实战 - 领域模型的设计与实现.Net Core 微服务实战 -工作单元模式.Net Core 微服务实战 -仓储层的定义.Net Core 微服务实战 - 领域事件.N
基于net core的一些例子
05-16
以下为例子描述: 14 EntityFramework 13 Thread-Process 12 EmbeddedResource 11 Encodings 10 Web-CustomBinding-WebListener(Win-ONLY) 9 Web-CustomBinding 8 EnvironmentVariables 7 SQLServer 6 ConfigurationFile 5 MultiPlatform 4 ASPNET-WebApi 3 ASPNET-MVC 2 HelloWorld-Web 1 HelloWorld
.Net Core3.0实战微服务
09-27
最新.Net core3.0,微服务,Rides,DDD领域驱动,设计模式等现今最流行技术站,有需要下载哦,有什么问题随时联系
.net core微服务第二版课件和源码
04-09
如鹏网.netcore 微服务第二版课件和源码,讲的很好,分享
C#基于ASP.NET Core 微服务架构的电商系统源码.zip
09-17
C#基于ASP.NET Core 微服务架构的电商系统源码.zip 代码完整下载可用。 C#基于ASP.NET Core 微服务架构的电商系统源码.zip 代码完整下载可用。C#基于ASP.NET Core 微服务架构的电商系统源码.zip 代码完整下载可用...
.Net Core 使用 ImageSharp 画图形
睡在上铺的猴
07-28 8419
首先在项目中NuGet添加程序包:SixLabors.ImageSharp 和 SixLabors.ImageSharp.Drawing 接下来就可以愉快的玩耍啦 画贝塞尔曲线: using (var image = new Image&lt;Rgba32&gt;(500, 500)) { //贝塞尔曲线 ...
如何在 .NET Core 中使用 “CallContext”
睡在上铺的猴
04-20 5975
我们知道,CallContext已经不适用于 .NETStandard 或 .NET Core 。但是可以使用 Asynclocal&lt;T&gt; 来模仿 CallContext ,只需要创建以下静态类: public static class CallContext { static ConcurrentDictionary&lt;string, AsyncLocal...
.Net Core 依赖注入
睡在上铺的猴
08-04 4186
为什么要使用依赖注入框架 .Net Core DI 核心类 三种生命周期 服务注册 单例注册 作用域注册 瞬时注册 直接注入实例 工厂模式注册 注册不同实例 尝试注册 移除和替换注册 注册泛型模板 使用依赖注入注意点 实现 IDisposable 接口类型的释放 Autofac 基于名称的注入 属性注入 子容器 基于动态代理的 AOP
.Net Core 微服务实战 - Polly:重试、熔断、限流
睡在上铺的猴
09-18 1772
Polly:重试、熔断、限流
asp.net core 微服务通信
05-10
ASP.NET Core 微服务之间的通信可以使用多种方式进行实现,以下是一些常见的方式: 1. HTTP API:使用 HTTP 协议,微服务之间通过 RESTful API 进行通信。ASP.NET Core 内置了 WebAPI,可以方便地实现 HTTP API。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值