.Net Core 微服务实战 - 安全

最新推荐文章于 2024-06-01 13:40:38 发布
最新推荐文章于 2024-06-01 13:40:38 发布
阅读量571 收藏
点赞数 1
分类专栏: 微服务 .net core 微服务实战 .net core 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33649351/article/details/120648140
版权

安全

源码及系列文章目录

Git 源码https://github.com/tangsong1995/TS.Microservices
CSDN 资源https://download.csdn.net/download/qq_33649351/34675095

系列文章目录https://blog.csdn.net/qq_33649351/article/details/120998558

防跨站请求伪造

攻击过程

Browser GoodSite BadSite login set cookie 访问 伪造请求脚本 BadSite 伪造的请求 响应 Browser GoodSite BadSite

要素:

  • 用户已登录“GoodSite”
  • “GoodSite”通过 Cookie 存储和传递身份信息
  • 用户访问了“BadSite”

防御

  • 不使用 Cookie 来存储和传输身份信息,使用 JWT 或其他方式进行身份认证
  • 若使用了 Cookie ,使用 AntiforgeryToken 来防御
  • 避免使用 GET 作为业务操作的请求方法

AntiforgeryToken

Startup 中配置:

public void ConfigureServices(IServiceCollection services)
{
	...
    services.AddAntiforgery(options =>
    {
        options.HeaderName = "X-CSRF-TOKEN";
    });

    //开启全局AntiforgeryToken验证
    services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()));
	...
}

客户端需要在请求头加上 X-CSRF-TOKEN 传入 Cookie 的值,服务器会验证 header 的值与 Cookie 的值是否一致,如果不一致,会认为是非法请求。
若不想使用过滤器开启全局 AntiforgeryToken 验证,可以使用 [ValidateAntiForgeryToken] 和 [AutoValidateAntiforgeryToken] 标签对对接口开启 AntiforgeryToken 验证, [AutoValidateAntiforgeryToken] 对 get 请求不生效。

防开放重定向攻击

攻击过程

Attacker Browser GoodSite BadSite 恶意信息 访问带恶意重定向地址的登录页 响应登录页面 输入用户名密码 重定向至坏站点的响应 访问坏站点伪造登录页 响应伪造登录页 输入用户名密码 通知攻击者 重定向到好站点的响应 访问好站点 响应好站点 Attacker Browser GoodSite BadSite

要素:

  • “好站点”的重定向未验证目标 URL
  • 用户访问了“坏站点”

防御

  • 使用 LocalRedirect 来处理重定向
  • 验证重定向的目标域名是否合法
[HttpPost]
public async Task<IActionResult> Login(string returnUrl)
{
	// TODO : Login
    if (string.IsNullOrEmpty(returnUrl))
    {
        return Content("登录成功");
    }
    try
    {
        var uri = new Uri(returnUrl);
        //TODO : 验证 uri 是否有效
        return Redirect(returnUrl);
    }
    catch
    {
        return Redirect("/");
    }
}

防跨站脚本

攻击过程

Attacker GoodSite Browser BadSite 提交带有恶意脚本的内容 提交成功 访问带恶意脚本的内容页 响应带恶意脚本的页面 POST/GET提交好站点的身份信息 通知攻击者 任意响应 Attacker GoodSite Browser BadSite

防御

  • 对用户提交内容进行验证,拒绝恶意脚本
  • 对用户提交的内容进行编码 UrlEncoder、JavaScriptEncoder、UrlEncoder
  • 慎用 HtmlString 和 HtmlHelper.Raw
  • 身份信息 Cookie 设置为 HttpOnly
  • 避免使用 Path 传递带有不受信的字符,使用 Query 进行传递
public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
        .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
        {
            options.LoginPath = "/home/login";
            //options.Cookie.HttpOnly = true; //默认true
        });
	...
}

跨域请求

CORS

  • CORS 是浏览器允许跨域发起请求“君子协定”
  • 它是浏览器行为协议
  • 它并不会让服务器拒绝其它途径发起的 HTTP 请求
  • 开启时需要考虑是否存在被恶意网站攻击的情形

CORS 请求头

  • Origin 请求源
  • Access-Control-Request-Method 期望请求发起的请求方法
  • Access-Control-Request-Headers 期望请求发起的请求头

CORS 响应头

  • Access-Control-Allow-Origin 是否允许跨域
  • Access-Control-Allow-Credentials 是否允许携带身份认证信息
  • Access-Control-Expose-Headers 是否允许脚本访问响应头
  • Access-Control-Max-Age 有效时间
  • Access-Control-Allow-Methods 允许的请求方法
  • Access-Control-Allow-Headers 允许的请求头
默认支持的 Expose Headers
  • Cache-Control
  • Content-Language
  • Content-Type
  • Expires
  • Last-Modified
  • Pragma

CORS 过程

Browser a.com b.com 访问域名a.com 响应 发起对efg.com的跨域预检请求 允许访问 发起对efg.com的跨域请求 正常响应 Browser a.com b.com

启用 CORS

配置 CORS:

public void ConfigureServices(IServiceCollection services)
{
    ...
	services.AddCors(options =>
	{
	    options.AddPolicy("api", builder =>
	     {
	         builder.WithOrigins("https://localhost:5001").AllowAnyHeader().AllowCredentials().WithExposedHeaders("abc");
	
	         builder.SetIsOriginAllowed(orgin => true).AllowCredentials().AllowAnyHeader();
	     });
	});
	...
}

以上代码的意义为:

  • WithOrigins允许跨域的源是 “https://localhost:5001” ,
  • AllowAnyHeader 允许携带Header
  • AllowCredentials 允许携带身份认证信息
  • WithExposedHeaders 允许访问的响应头
  • SetIsOriginAllowed 批量设置

启用 CORS:

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
	...
    app.UseCors();
	...
}

在 api 上使用 [EnableCors(“api”)] 标签允许 CORS 。

Aoss丶
关注
专栏目录
从0到1,部署.NET Core微服务上Kubernetes的实战攻略:3步打造高性能星际舰队?
java专栏
07-05 740
经过这一系列步骤,你已经成功将.NET Core微服务部署到了Kubernetes,并理解了其中的关键概念和操作。但这只是探索宇宙的开始,随着技术的发展,还有更多高级功能和最佳实践等待着你去发掘。记住,每一次的技术实践都像是在未知星域的一次勇敢探险,保持好奇,持续学习,你的技术宇宙将无限宽广。现在,驾驶你的微服务星舰,向更深远的宇宙进发吧!
基于.NET CORE微服务框架surging示例 (开源)
+W❤:bjmsb2019
08-21 899
至今为止编程开发已经11个年头,从 VB6.0,ASP时代到ASP.NET再到MVC, 从中见证了.NET技术发展,从无畏无知的懵懂少年,到现在的中年大叔,从中的酸甜苦辣也只有本人自知。随着岁月的成长,技术也从原来的三层设计到现在的领域驱动设计,从原来的关系型数据库SQL 2000到现在的NOSQL (mongodb,couchbase,redis),从原来基于SOAP协议的web service到现在基于restful 协议的web api,wcf,再到现在rpc微服务。技术的成长也带来岁月的痕迹。 现
.Net Core 微服务实战 - 目录及源码
无名指的约定
07-08 718
目录 源码 目录 源码 Git 源码 :https://github.com/tangsong1995/TS.Microservices CSDN 资源 :https://download.csdn.net/download/qq_33649351/34675095目录 .Net Core 微服务实战 - 工程结构.Net Core 微服务实战 - 领域模型的设计与实现.Net Core 微服务实战 -工作单元模式.Net Core 微服务实战 -仓储层的定义.Net Core 微服务实战 - 领域事件.N
ASP.NET CORE 微服务(简化版)实战系列-没有比这性价比再高的实战课程了
dotNET跨平台
02-15 8963
ASP.NET CORE 微服务(简化版)实战系列,最后1天298,现在注册购买再减50。作者jesse 腾飞在2.14 早上我买了他的课程后,他才做了下面这个活动:作者jesse 腾飞花了大量的时间做了一个非常好的视频教程,我个人也比较推荐学习这个课程,而且他还有这个活动,所以今天特别通过公众号告知大家。我还没开始学习使用下面链接注册获取优惠券。我在jesse腾飞的视频网站上看到一些关于.net
简单事务:.NET Core应用程序的微服务示例体系结构
寒冰屋的专栏
03-02 688
目录 介绍 应用架构 微服务设计 安全性:基于JWT令牌的身份验证 开发环境 技术 使用的开源工具 云平台服务 数据库设计 WebApi终端 通过API网关配置和访问终端 在微服务级别实现终端 解决方案结构 异常处理 数据库并发处理 Azure AppInsights:日志记录和监控 Swagger:API文档 Postman集合 如何运行应用程序 控制台应...
微服务系列实践 .NET CORE
weixin_30266885的博客
12-30 136
从事这个行业转眼已经6年了,从当初刚毕业的在北京朝八晚十,从二环到五环,仍每天精力充沛的小愤青;再到深圳一点一滴的辛勤在软件行业的耕种,从当初单体应用架构到现在微服务架构的经历,回想起来自己的收获倒是不少。人生也许算是比较平淡,运气到也还算不错,做过的项目刚好让我在这些方面能有不错的认知和自我学习的空间。 本来这个系列能带来的更早,奈何去年打王者荒废了太多的时间(有点收获的可能就是连续三...
.Net Core3.0实战微服务
09-27
最新.Net core3.0,微服务,Rides,DDD领域驱动,设计模式等现今最流行技术站,有需要下载哦,有什么问题随时联系
.net core 微服务 权限系统+工作流系统
05-29
.NET Core微服务权限系统与工作流系统详解》 在现代企业级应用开发中,.NET Core以其跨平台、高性能、模块化等优势,逐渐成为构建微服务架构的首选框架。本文将深入探讨基于.NET Core微服务权限系统与工作流...
ASP.NET Core微服务实战指南:构建强大、灵活的云应用
《利用ASP.NET Core构建微服务》是一本深入讲解微服务架构在ASP.NET Core平台上的实践指南。作者通过本书引导读者从基础出发,探索如何设计、构建和扩展具有强大功能和高可靠性的微服务。章节内容涵盖了以下几个关键...
基于net core的一些例子
05-16
以下为例子描述: 14 EntityFramework 13 Thread-Process 12 EmbeddedResource 11 Encodings 10 Web-CustomBinding-WebListener(Win-ONLY) 9 Web-CustomBinding 8 EnvironmentVariables 7 SQLServer 6 ConfigurationFile 5 MultiPlatform 4 ASPNET-WebApi 3 ASPNET-MVC 2 HelloWorld-Web 1 HelloWorld
使用 .NET Core 实现微服务(带例子)
最新发布
exlink2012的专栏
06-01 2237
每个微服务都是一个独立的 ASP.NET Core Web API 项目。例如,我们可以创建两个微服务:一个用户服务(UserService)和一个订单服务(OrderService)。
.Net Core 微服务实战 - 网关与BFF
睡在上铺的猴
10-08 931
什么是 BFF 网关 网关架构类型 基于 Ocelot 打造网关 JWT JWT 数据结构 使用 JWT 实现身份认证与授权
.Net Core 微服务实战 - EFK
睡在上铺的猴
10-25 462
Elasticsearch Kibana Fluentd 日志收集
.net core 微服务_.Net微服务实战之CI/CD(一)
weixin_39622760的博客
11-24 291
地基  在软件工程不少的思想、概念来源于建筑工程,大家也喜欢把开发软件比喻成建房子。那么如果说运维是软件的地基,那么框架就是承重墙。起房子就是先打地基,再建承重墙。地基打得越稳,房子才能起得更高。也等同于运维技术越扎实,系统才能更加健壮。  特别在微服务兴起得时代,运维越发的现得尤为得重要,DevOps也风靡全球。只要聊起DevOps与微服务,CI/CD总是不能避免的。CI/CD不一定限制于微服务...
.Net Core 微服务实战 - 集成事件
睡在上铺的猴
09-07 1052
.Net Core 微服务实战 -集成事件
.NET Core微服务实战-统一身份认证】开篇及目录索引
qq_40277786的博客
12-04 1224
https://www.cnblogs.com/jackcao/p/9928879.html
.Net Core 微服务实战 - 配置
睡在上铺的猴
10-24 503
ConfigMap Apollo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值