在 Asp.Net Core WebAPI 中防御跨站请求伪造攻击

什么是跨站请求伪造

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。【1】 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

想了解更多,请查看维基百科上的详细介绍。

使用 Asp.Net Core 内置的 Antiforgery

Asp.Net Core 应用中内置了 Microsoft.AspNetCore.Antiforgery 包来支持跨站请求伪造。如果你的应用引用了 Microsoft.AspNetCore.App 包, 则就已经包含了 Microsoft.AspNetCore.Antiforgery 。如果没有, 则可以使用下面的命令来添加这个包:

dotnet add package Microsoft.AspNetCore.Antiforgery

添加了这个包之后, 需要先修改 Startup.cs 文件中的 ConfigureServices 方法, 添加下面的配置:

public class Startup {  public void ConfigureServices(IServiceCollection services) {    services.AddAntiforgery(options => {      options.Cookie.SameSite = SameSiteMode.Lax;            options.HeaderName = "X-XSRF-TOKEN";    });  }}

在 SecurityController.cs 文件中添加一个 Api , 来颁发凭据:

[Route("api/[controller]")][ApiController]public class SecurityController : Controller {  private IAntiforgery antiforgery;  public SecurityController(    IAntiforgery antiforgery  ) {    this.antiforgery = antiforgery;  }  [HttpGet("xsrf-token")]  public ActionResult GetXsrfToken() {    var tokens = antiforgery.GetAndStoreTokens(HttpContext);            Response.Cookies.Append(      "XSRF-TOKEN",      tokens.RequestToken,      new CookieOptions {        HttpOnly = false,        Path = "/",        IsEssential = true,        SameSite = SameSiteMode.Lax      }    );    return Ok();  }}

当客户端请求 ~/api/security/xsrf-token 时, 服务端发送两个 Cookie :

  • .AspNetCore.Antiforgery.xxxxxx 一个 HTTP Only 的 Cookie , 用于服务端验证;

  • XSRF-TOKEN 客户端需要将这个 Cookie 的值用 X-XSRF-TOKEN 的 Header 发送回服务端, 进行验证;

注意:这两个 Cookie 不支持跨域请求, 只能在相同的站点内请求, 也是出于安全性方面的考虑。

可以为某一个 ApiController 或者 Action 方法单独添加 ValidateAntiForgeryTokenAttribute标记来验证 XSRF-TOKEN, 也可以全局注册一个 AutoValidateAntiforgeryTokenAttribute 过滤器来进行自动验证, 代码如下:

public class Startup {  public void ConfigureServices(    IServiceCollection services,    IHostingEnvironment env  ) {    services.AddMvc(options => {            if (env.IsProduction()) {        options.Filters.Add(          new AutoValidateAntiforgeryTokenAttribute()        );      }    });  }}

注意问题:不是所有的方法都需要进行 XSRF 认证,除了 GET, HEAD, OPTIONS 和 TRACE 之外的方法才支持 XSRF 认证。

Angular 内置支持

Angular 的 Http 模块内置支持 XSRF , 前提条件如下:

  • 存在客户端可以操作的名称为 XSRF-TOKEN 的 Cookie ;

  • 该 Cookie 不能是 HttpOnly 的, 否则客户端脚本无法读取;

  • 该 Cookie 的 Path 必须为 / ;

这三个条件都满足, 则在向服务端请求时自动发送名称为 X-XSRF-TOKEN 的 Header , 值则为 XSRF-TOKEN 的 Cookie 的值, 这样就回自动满足上面的服务端的设置, 实现自动防御跨站请求伪造。

原文地址:https://beginor.github.io/2019/05/27/anti-forgery-with-asp-net-core-and-angular.html


.NET社区新闻,深度好文,欢迎访问公众号文章汇总 http://www.csharpkit.com 
640?wx_fmt=jpeg

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值