在 Asp.Net Core WebAPI 中防御跨站请求伪造攻击

最新推荐文章于 2024-07-09 00:22:30 发布
最新推荐文章于 2024-07-09 00:22:30 发布
阅读量1.6k 收藏 2
点赞数

什么是跨站请求伪造

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。【1】 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

想了解更多,请查看维基百科上的详细介绍。

使用 Asp.Net Core 内置的 Antiforgery

Asp.Net Core 应用中内置了 Microsoft.AspNetCore.Antiforgery 包来支持跨站请求伪造。如果你的应用引用了 Microsoft.AspNetCore.App 包, 则就已经包含了 Microsoft.AspNetCore.Antiforgery 。如果没有, 则可以使用下面的命令来添加这个包:

dotnet add package Microsoft.AspNetCore.Antiforgery

添加了这个包之后, 需要先修改 Startup.cs 文件中的 ConfigureServices 方法, 添加下面的配置:

public class Startup {  public void ConfigureServices(IServiceCollection services) {    services.AddAntiforgery(options => {      options.Cookie.SameSite = SameSiteMode.Lax;            options.HeaderName = "X-XSRF-TOKEN";    });  }}

在 SecurityController.cs 文件中添加一个 Api , 来颁发凭据:

[Route("api/[controller]")][ApiController]public class SecurityController : Controller {  private IAntiforgery antiforgery;  public SecurityController(    IAntiforgery antiforgery  ) {    this.antiforgery = antiforgery;  }  [HttpGet("xsrf-token")]  public ActionResult GetXsrfToken() {    var tokens = antiforgery.GetAndStoreTokens(HttpContext);            Response.Cookies.Append(      "XSRF-TOKEN",      tokens.RequestToken,      new CookieOptions {        HttpOnly = false,        Path = "/",        IsEssential = true,        SameSite = SameSiteMode.Lax      }    );    return Ok();  }}

当客户端请求 ~/api/security/xsrf-token 时, 服务端发送两个 Cookie :

  • .AspNetCore.Antiforgery.xxxxxx 一个 HTTP Only 的 Cookie , 用于服务端验证;

  • XSRF-TOKEN 客户端需要将这个 Cookie 的值用 X-XSRF-TOKEN 的 Header 发送回服务端, 进行验证;

注意:这两个 Cookie 不支持跨域请求, 只能在相同的站点内请求, 也是出于安全性方面的考虑。

可以为某一个 ApiController 或者 Action 方法单独添加 ValidateAntiForgeryTokenAttribute标记来验证 XSRF-TOKEN, 也可以全局注册一个 AutoValidateAntiforgeryTokenAttribute 过滤器来进行自动验证, 代码如下:

public class Startup {  public void ConfigureServices(    IServiceCollection services,    IHostingEnvironment env  ) {    services.AddMvc(options => {            if (env.IsProduction()) {        options.Filters.Add(          new AutoValidateAntiforgeryTokenAttribute()        );      }    });  }}

注意问题:不是所有的方法都需要进行 XSRF 认证,除了 GET, HEAD, OPTIONS 和 TRACE 之外的方法才支持 XSRF 认证。

Angular 内置支持

Angular 的 Http 模块内置支持 XSRF , 前提条件如下:

  • 存在客户端可以操作的名称为 XSRF-TOKEN 的 Cookie ;

  • 该 Cookie 不能是 HttpOnly 的, 否则客户端脚本无法读取;

  • 该 Cookie 的 Path 必须为 / ;

这三个条件都满足, 则在向服务端请求时自动发送名称为 X-XSRF-TOKEN 的 Header , 值则为 XSRF-TOKEN 的 Cookie 的值, 这样就回自动满足上面的服务端的设置, 实现自动防御跨站请求伪造。

原文地址:https://beginor.github.io/2019/05/27/anti-forgery-with-asp-net-core-and-angular.html

.NET社区新闻,深度好文,欢迎访问公众号文章汇总 http://www.csharpkit.com 
640?wx_fmt=jpeg

dotNET跨平台
关注
ASP.NET Web API 启用跨域请求,防止跨站请求伪造 (CSRF) 攻击
NARUTONEPIECE的博客
08-19 489
ASP.NET Web API 启用跨域请求, 防止 ASP.NET 应用程序跨站请求伪造 (CSRF) 攻击
razor ajax教程,ASP.NET Core Razor处理Ajax请求
weixin_33309048的博客
08-06 1084
如何ASP.NET Core Razor处理Ajax请求ASP.NET Core Razor(以下简称Razor)刚出来的时候,看了一下官方的文档,一直没怎么用过。今天闲来无事,准备用Rozor做个项目熟练下,结果写第一个页面就卡住了。。折腾半天才搞好,下面给大家分享下解决方案。先来给大家简单介绍下RazorRazor Pages是ASP.NET Core的一项新功能,可以使编页面的编程方案更...
ASP.NET Core 防止跨站请求伪造(XSRF/CSRF)攻击
weixin_30338497的博客
08-31 702
什么是反伪造攻击? 跨站请求伪造(也称为XSRF或CSRF,发音为see-surf)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互。这种攻击是完全有可能的,因为Web浏览器会自动在每一个请求发送某些身份验证令牌到请求网站。这种攻击形式也被称为 一键式攻击 或 会话控制 ,因为攻击利用了用户以前认证的会话。 CSRF攻击的示例: 用户登录 www.e...
asp.netWebForm(.netFramework) CSRF漏洞
最新发布
qq_43893277的博客
07-09 536
CSRF(Cross-Site Request Forgery跨站请求伪造是一种常见的 Web 应用程序安全漏洞,攻击者通过诱使已认证用户在受信任的网站上执行恶意操作,从而利用用户的身份执行未经授权的操作。攻击者通常会在第三方网站上植入恶意代码或链接,当用户访问这些网站时,恶意请求会被发送到目标网站,利用用户的身份执行操作,如更改密码、转账等。CSRF 漏洞可能导致以下安全问题:未经授权的操作:攻击者可以利用 CSRF 漏洞执行未经授权的操作,如更改用户密码、删除账户等。
ASP.NET Core跨站请求伪造
weixin_30566149的博客
07-08 376
CSRF(Cross-site request forgery)利用了web用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 例子 在某个论坛管理页面,管理员可以在list页面执行删除帖子操作,根据URL判断删除帖子的id,像这样的一个URL http://localhost/list?action=delete&id=12 当...
.NET CORE防止CSRF跨站请求伪造
qq_18932003的博客
08-28 284
可以加特性ValidateAntiForgeryToken实现,还可以配合一个ActionName 比如微软.NET CORE官方的一个案例 [HttpGet,ActionName("Delete")] [ValidateAntiForgeryToken] publicasyncTask<IActionResult>DeleteConfirmed(intid) { varstudent=await_context.Students.FindA...
ASP.NET Web API and Angular 2 pdf 0分
10-14
*** Core提供了许多内置的安全特性,如身份验证、授权、数据保护和防跨站请求伪造(CSRF)等。而Angular 2则在客户端实现了基于令牌的身份验证机制,如使用JSON Web Tokens(JWT)来确保用户身份的安全。开发者需要...
构建高性能RESTful APIASP.NET Core Web API
# 1. 导言 ## 1.1 简介 在当今信息技术快速发展的时代,RESTful API 成为了互联网应用开发的一种常见架构风格,它基于HTTP协议,通过URL和HTTP方法来对资源进行操作和管理。...## 1.3 ASP.NET Core Web API简介
ASP.NET Core构建高性能Web API
介绍 ASP.NET CoreWeb API ## 1.1 什么是 ASP.NET CoreASP.NET Core 是由 Microsoft 推出的跨平台开源框架,用于构建现代、高性能的 Web 应用程序。它具有轻量级、高性能和灵活等特点,适用于各种应用场景...
web安全措施.你写的WEB API接口如何预防黑客攻击_webservice接口实例
12-25
web安全措施.你写的WEB API接口如何预防黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何防止黑客攻击你的HTTP API接口呢
.netcore 3.1 反跨站请求伪造
csdn_aspnet的专栏
07-28 320
CSRF验证 services.AddAntiforgery(options => { options.HeaderName = "X-CSRF-TOKEN"; }); 开启全局AntiforgeryToken验证(包括post页面都是需要去携带的) services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute())); 针对单个接口进行防御 [ValidateAn..
使用ASP.NET Core、JavaScript和Angular防止CSRF攻击
寒冰屋的专栏
01-28 816
跨站请求伪造,也称为CSRF(发音为“See-Surf”)、XSRF、一键攻击和会话骑乘,是一种攻击类型,攻击者强制用户在应用程序执行不需要的操作,而用户已登录。攻击者诱骗用户代表他们执行操作。此攻击的影响取决于用户拥有的权限级别。例如,在易受攻击的银行网站攻击者可以从受害者的账户转移一定数量的资金或取得整个账户的所有权。
Web攻防系列教程之跨站脚本攻击和防范技巧详解
LeachZhou的博客
03-28 550
摘要:XSS跨站脚本攻击一直都被认为是客户端Web安全最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。... 转载请注明来源:Web攻防系列教程之跨站脚本攻击和防范技巧详解  XSS跨站脚本攻击一直都被认为是客户端Web安全
Web Api全局预防Xss攻击
weixin_30266885的博客
07-25 847
本文转载自https://www.cnblogs.com/ruanyifeng/p/4739807.html。对第二种过滤方法的代码进行了一些修改和注释,记录一下免得以后忘了。已经测试过,应该可以直接复制到项目直接使用了。 通过了解Web Api的pipeline机制(管道机制),发现可以在两个地方进行参数的过滤 重写DelegatingHandler的SendAsync方法进行过...
asp.net core Antiforgery Token 防范anti 攻击 最简单的使用方法
走错路的程序员
03-01 2820
本来想全局取消这种验证的. 弄来弄去就是关不掉这个验证. 最终敌不过微软的强大. 妥协了. 还是乖乖的在ajax增加RequestVerificationToken 属性吧. 但是又嫌在每个请求都加这个参数实在是太麻烦. 后来灵光一闪. 可以像下面这样搞. 简单多了. 在_layout.cshtml 页面增加一个标记就可以了. &lt;script src="jquery.js"&gt;&...
在.NET Core Web API防止XSS
寒冰屋的专栏
06-06 1323
在这篇文章,您将看到一个关于如何(积极地)在您的API防御XSS的建议。 你猜怎么着?如果您正在开发一个ASP.NET Web API项目并且没有采取措施来保护它免受XSS(跨站点脚本)的侵害,那么不幸的是,您手上有一个安全漏洞。...
.Net Core 防御XSS攻击
热门推荐
csdn_aspnet的专栏
12-29 1万+
网络安全攻击方式有很多种,其包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面。常见的XSS攻击有三种:反射型XSS攻击、DOM-based型XSS攻击、存储型XSS攻击
IIS上部署ASP.NET Core Web API的详细步骤
"在IIS上部署ASP.NET Core Web API涉及多个步骤,包括环境准备、安装所需软件、配置IIS以及发布应用。首先,需要安装Visual Studio 2019的最新版本,如VS16.3,因为它支持.NET Core SDK 3.0。若在Visual Studio未...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值