【微服务】06-安全问题

最新推荐文章于 2024-03-27 23:12:11 发布

Tiger_shl

最新推荐文章于 2024-03-27 23:12:11 发布

阅读量1.7k

点赞数

分类专栏：微服务 NetCore 文章标签：微服务安全架构 .netcore 后端开发语言

本文链接：https://blog.csdn.net/tiger_shl/article/details/132504749

版权

NetCore 同时被 2 个专栏收录

24 篇文章 0 订阅

订阅专栏

微服务

15 篇文章 0 订阅

订阅专栏

本文详细介绍了如何通过AntiforgeryToken机制防御跨站请求伪造，包括攻击过程、防御措施和代码示例。同时讨论了防重定向、跨站脚本攻击的防范方法，以及CORS（跨源资源共享）的原理、请求头和响应头管理。

摘要由CSDN通过智能技术生成

文章目录

1.反跨站请求伪造

1.1 攻击过程

在这里插入图片描述

1.2 攻击核心

用户已经登录"好站点"
"好站点"通过Cookie存储和传递身份信息
用户访问了"坏站点"

1.3 如何防御

不使用Cookie来存储和传输身份信息，使用JWT认证
使用AntiforgeryToken机制来防御
避免使用Get作为业务操作的请求方法

浏览器每次请求都会携带Cookie,这是我们控制不了的，而Jwt的Token则需要在同域下的脚本才能发起，需要在同域下运行脚本从token的存储里面去获取的，比如localstorage这样的存储

1.4 使用AntiforgeryToken机制来防御用到的类

ValidateAntiForgeryToken
AutoValidateAntiforgeryToken

// startup
public void ConfigureServices(IServiceCollection services)
{
	// 防止跨站请求伪造的策略配置
	services.AddAntiforgery(options =>
            {
                options.HeaderName = "X-CSRF-TOKEN";//
            });
}

// 开启全局AntiForgeryToken验证
//services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()));

如果不希望全局开启AntiForgeryToken验证,可以在API上通过特性设置

[Authorize]
[ValidateAntiForgeryToken]//这里进行AntiForgeryToken验证
public IActionResult CreateOrder(string itemId, int count)
{
    ...
}

2. 防开发重定向共计

2.1 攻击过程

在这里插入图片描述

2.2 攻击核心

“好站点”的重定向未验证目标URL
用户访问了“坏站点”

2.3 防范措施

使用LocalRedirect来处理重定向
验证重定向的目标域名是否合法

LocalRedirect处理的重定向仅限于本站，也就是它的重定向不能跨站，所以不会重定向到坏站点

[HttpPost]
        public async Task<IActionResult> Login([FromServices]IAntiforgery antiforgery, string name, string password, string returnUrl)
        {
            HttpContext.Response.Cookies.Append("CSRF-TOKEN", antiforgery.GetTokens(HttpContext).RequestToken, new Microsoft.AspNetCore.Http.CookieOptions { HttpOnly = false });
            var identity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);//一定要声明AuthenticationScheme
            identity.AddClaim(new Claim("Name", "小王"));
            await this.HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(identity));
            if (string.IsNullOrEmpty(returnUrl))
            {
                return Content("登录成功");
            }
            try
            {
            	// 使用LocalRedirect处理,如果出现异常,重定向到首页,避免站点跳转到外部站点
            	// 如果我们需要跳转到其它站点时,我们需要验证returnUrl合法性,然后使用Redirect进行跳转
                return LocalRedirect(returnUrl);
            }
            catch
            {
                return Redirect("/");
            }
            //return Redirect(returnUrl);
        }

3.防跨站脚本

3.1 攻击过程

在这里插入图片描述

3.2 防范措施

对用户提交内容进行验证，拒绝恶意脚本
对用户提交的内容进行编码UrlEncoder，JavaScriptEncoder
慎用HtmlString和HemlHelper.Raw
身份信息Cookie设置为HttpOnly
避免使用Path传递带有不受信的字符，使用Query进行传递

public void ConfigureServices(IServiceCollection services)
{
	services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
           .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
           {
               options.LoginPath = "/home/login";
               options.Cookie.HttpOnly = true;
           });
}

4.跨域请求

4.1 同源与跨域

方案相同(HTTP/HTTPS)
主机(域名)相同
端口相同

如果方案、主机（域名）、端口这个三个都相同则认为两个域名是同源的，如果三者中有任意一个不同，则认为请求是跨域的

4.2 CORS过程

在这里插入图片描述

浏览器发起了一个请求，访问了abc.com的网站，网站给予返回响应，那么浏览器当前就处于abc.com这个主域名下。这时如果向efg.com网站发起一个http ajax请求，这时则认为这是一个跨域请求。
浏览器在发起跨域请求前会向efg.com发起一个基于HTTP option的预检请求，efg.com收到预检请求后，会根据当前预检请求的一些信息，如主域，header，身份认证信息等，去判断是否允许跨域请求；如果efg.com允许发起跨域请求，浏览器会正式地向efg.com发起我们要求的跨域请求，这时efg.com会响应正常的页面Api信息

4.2 CORS是什么

CORS是浏览器允许跨域发起请求“君子协定”
它是浏览器行为协议
它并不会让服务器拒绝其它途径发起的HTTP请求
开启时需要考虑是否存在被恶意网站工具的情形

CORS影响的是浏览器是否允许在其它域下面通过脚本来发起跨域的请求

4.3 CORS请求头

Origin请求源 ⇒ 指的是当前主域的地址
Access-Control-Request-Method ⇒ 希望的请求方法
Access-Control-Request-Headers ⇒ 希望请求发起的请求头

4.4 CORS响应头

Access-Control-Allow-Origin ⇒ 是否允许跨域
Access-Control-Allow-Credentials ⇒ 是否允许携带认证信息，如cookie 信息
Access-Control-Expose-Headers ⇒ 是否允许跨域请求的脚本访问到响应头，默认情况会暴露一些默认的头部信息
Access-Control-Max-Age ⇒ 跨域响策略时间
Access-Control-Allow-Methods ⇒ 允许的Http方法
Access-Control-Allow-Headers ⇒ 允许的header

4.5 默认支持的Expose Headers

Cache-Control
Content-Language
Content-Type
Expires
Last-Modified
Pragma

// startup
public void ConfigureServices(IServiceCollection services)
{
	services.AddCors(options =>
    {
         options.AddPolicy("api", builder =>
          {
          // WithOrigins允许跨域的源
          //AllowAnyHeader 允许发起任何header
          // AllowCredentials 允许身份认证,发起的请求会自动携带域下面的cookie信息
          // WithExposedHeaders 设置脚本允许访问的响应header列表
          builder.WithOrigins("https://localhost:5001").AllowAnyHeader().AllowCredentials().WithExposedHeaders("abc");
			
			// 允许跨域的源设置为任意，
		   builder.SetIsOriginAllowed(orgin => true).AllowCredentials().AllowAnyHeader();
          });
     });
}

// 设置中间件
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
	...
	app.UseCors();// 注册尽量靠前,放在routing之后
}

// 使用
[Authorize]
[HttpPost]
[EnableCors("api")]// 也可以设置在Controller上
//[DisableCors] //不允许跨域
public object PostCors(string name)
{
    return new { name = name + DateTime.Now.ToString() };
}