asp html表单没有csrf保护,Web API CSRF保护实现

最新推荐文章于 2024-08-28 11:47:07 发布
最新推荐文章于 2024-08-28 11:47:07 发布
阅读量325 收藏
点赞数
文章标签: asp html表单没有csrf保护

这次自己实现了类似jQuery中ajax调用的方法,并且针对RESTFul进行了改造和集成,实现的A2D AJAX接口如下:

67d0865f17d9be527254bf8a8ff6c5b4.gif

$.ajax.RESTFulGetCollection("/api/Users", function (data) { alert(data[5].FirstName); });

$.ajax.RESTFulGetOne("/api/Users/1", function (data) { alert(data.UserID); });

$.ajax.RESTFulDelete("/api/Users/1", function (data) { alert("deleted"); });

$.ajax.RESTFulPost("/api/Users", { UserID: 0, FirstName: "aa", LastName: "bbb"}, function (data) { alert("added"); });

$.ajax.RESTFulPut("/api/Users/1", { UserID: 0, FirstName: "aa", LastName: "bbb"}, function (data) { alert(data); });

67d0865f17d9be527254bf8a8ff6c5b4.gif

我们再深入点,要是别人恶意访问Delete的url呢?比如CSRF攻击。普通webform或者普通MVC方式可以比较方便的阻止攻击, 方法参考这篇文章的A8章节

答案:使用http header来传递token。步骤如下(以A2D与ASP.NET WEBAPI配合为例):

67d0865f17d9be527254bf8a8ff6c5b4.gif

@functions{

public string TokenHeaderValue()

{

string cookieToken, formToken;

AntiForgery.GetTokens(null, out cookieToken, out formToken);

return cookieToken + ":" + formToken;

}

}

$.ajax.Config.CSRFToken="@TokenHeaderValue()"; //把生成的token赋给A2D的ajax

$.ajax.RESTFulGetCollection("/api/Users", function (data) { alert(data[5].FirstName); });

$.ajax.RESTFulGetOne("/api/Users/1", function (data) { alert(data.UserID); });

$.ajax.RESTFulDelete("/api/Users/1", function (data) { alert("deleted"); });

$.ajax.RESTFulPost("/api/Users", { UserID: 0, FirstName: "aa", LastName: "bbb"}, function (data) { alert("added"); });

$.ajax.RESTFulPut("/api/Users/1", { UserID: 0, FirstName: "aa", LastName: "bbb"}, function (data) { alert(data); });

67d0865f17d9be527254bf8a8ff6c5b4.gif

然后编写webapi的handler:

67d0865f17d9be527254bf8a8ff6c5b4.gif

public class CSRFHandler : DelegatingHandler

{

protected override System.Threading.Tasks.Task SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)

{

if (request.Method == HttpMethod.Post ||

request.Method == HttpMethod.Put ||

request.Method == HttpMethod.Delete)//这里csrf只针对这3种请求才会验证

{

ValidateRequestHeader(request);

}

return base.SendAsync(request, cancellationToken);

}

private void ValidateRequestHeader(HttpRequestMessage request)

{

string cookieToken = "";

string formToken = "";

IEnumerable tokenHeaders;

if (request.Headers.TryGetValues("A2D-CSRFToken", out tokenHeaders)) //这个header值要和A2D框架中的一致

{

string[] tokens = tokenHeaders.First().Split(':');

if (tokens.Length == 2)

{

cookieToken = tokens[0].Trim();

formToken = tokens[1].Trim();

}

}

AntiForgery.Validate(cookieToken, formToken);

}

}

67d0865f17d9be527254bf8a8ff6c5b4.gif

最后在WebApiConfig中注册这个handler

67d0865f17d9be527254bf8a8ff6c5b4.gif

public static class WebApiConfig

{

public static void Register(HttpConfiguration config)

{

config.MessageHandlers.Add(new CSRFHandler());

config.Routes.MapHttpRoute(

name: "DefaultApi",

routeTemplate: "api/{controller}/{id}",

defaults: new { id = RouteParameter.Optional }

);

}

}

67d0865f17d9be527254bf8a8ff6c5b4.gif

好了,都搞定了。

of soul
关注
asp html表单没有csrf保护,CSRFASP.NET Core中的处理方法详解
weixin_36337756的博客
06-28 798
前言前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。在梳理之前,还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。那么什么是CSRF呢?CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Sessi...
asp html表单没有csrf保护,ASP.NET MVC 和网页中的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 505
ASP.NET MVC 和网页中的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET 的表单身份验证...
HTML form without CSRF protection,HTML表单没有CSRF保护
收集盒 Book box
07-18 6846
HTML form without CSRF protection =HTML表单没有CSRF保护  CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台
CSRF 概念及防护机制
最新发布
Bryant5051的博客
08-28 1235
描述了 CSRF 的基本概念和相关的防护机制
HTML表单没有CSRF保护漏洞
煜铭2011
06-20 1万+
0x00 背景 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 恶意攻击者可以利用漏洞攻击做到:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 0x01 修复思路 CSRF的防御可以从服务端和客户端两方面着手,防御
web 扫描漏洞:HTML form without CSRF protection 问题解决
dazhong2012的专栏
05-04 963
一.扫描工具:acunetix 二.问题描述 该漏洞主要是利用用户登录网站中的session 或 cookie 信息,采用诱导链接,获取用户浏览器中的相关session 或 cookie ,发送恶意请求或重复攻击; 三.解决方法 1.在提交浏览器表单信息时,增加 token 或 随机数 参数,并将 参数 写入到 session 信息;后台校验时,通过 对比 表单参数和 session 中的参数的一致性,判断表单提交是否是来源于页面的正常请求。 jsp 页面代码如下: <%@ page language
保护ASP.NET应用免受CSRF攻击
12-22
CSRF(跨站请求伪造)是一种网络安全威胁,它利用了用户已登录的Web应用程序的身份,进行非用户意愿的恶意操作。这种攻击方式在2007年被列为互联网的重大安全隐患,尽管其他如SQL注入和XSS(跨站脚本攻击)得到了较...
CSRFASP.NET Core中的处理方法详解
10-18
总之,ASP.NET Core提供了强大的工具来防御CSRF攻击,通过在视图中生成和在控制器中验证AntiForgeryToken,可以有效地保护应用程序免受此类威胁。然而,为了确保安全,开发者还应该遵循最佳实践,如使用HTTPS、限制...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
在*** MVC开发中,防范跨站请求伪造(Cross-Site Request ...这些措施能够有效提高Web应用的安全性,防止CSRF攻击者滥用用户发起的请求。*** MVC框架提供的这种防伪令牌机制简单易用,是防御CSRF攻击的首选方法。
html表单没有csrf保护,如何在Symfony 1.4中为表单禁用CSRF保护/验证
weixin_36415206的博客
06-19 505
csrf令牌可为你的表单提供保护, 使其免受跨站请求伪造(CSRF)的攻击, 该攻击迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在某些项目中, 由于缺少在视图中定义同一实体的多种形式的symfony, 你最终将使用HTML手动设计表单(这意味着视图上未呈现任何sfForm实例, 并且没有CSRF保护已启用), 但是使用symfony的默认绑定器存储来自数组的信息, 例如:/...
html表单缺乏csrf防护,表单验证因缺少CSRF而失败
weixin_30394975的博客
06-19 1458
我重置了本地flask环境,但是没有通过捕获它的依赖项,pip freeze然后再将其删除。因此,我不得不重新安装整个堆栈的最新版本。现在,我突然无法使用表单进行验证了。Flask声称CSRF将丢失。def register():form = RegisterForm()if form.validate_on_submit():...return make_response("register.h...
html表单没的csrf保护,表单csrf保护
weixin_30047651的博客
06-19 911
## 表单提交和CSRF在本课程中,我们将介绍将表单数据提交到服务器的基本工作流程。在此过程中,我们将介绍一个新概念:`CSRF`(跨站点请求伪造)。### 新手建议前面几节我们介绍了如何从数据库中获取数据,使用 `Tinker` 添加测试数据。接下来我们在页面中实现添加数据并展示。> 不论做任何复杂的功能,都是从简单开始,慢慢迭代,这里给新手一个建议,不论做什么都先按照 `路由->控...
【记录】没有CSRF保护HTML表单 漏洞解决办法
热门推荐
Damionew的博客
02-28 1万+
解决方法:Cookies Hashing:每一个表单请求中都加入随机的Cookie,由于网站中存在XSS漏洞而被偷窃的危险。 在Jsp文件头引入 &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; 在登录的jsp中添加 &lt;% //增加随机数,解决 ...
csrf防护html页面,CSRF防护 Step by Step(亲测版)
weixin_35710880的博客
06-04 510
阅读:2,619CSRF(Cross-site request forgecy):跨站请求伪造,是一种常见的网络攻击方式。究竟什么是CSRF以及如何防御呢?CSRF原理CSRF攻击流程如下图所示:简而言之,就是攻击者盗用了你的合法身份,并以你的名义发送恶意请求,比如:以你的名义发送邮件和消息,用你的钱买东西,把你的钱从账户转出……后果不堪设想。CRRF防御CSRF的防御方式大概有如下几种:通过 r...
HTML form CSRF保护,694816 – HTML form without CSRF protection
weixin_32048757的博客
06-29 733
Neeraj Kumar2013-11-27 09:33:26 UTCCross-site request forgery, also known as a one-click attack or session riding and abbreviated as CSRF or XSRF, is a type of malicious exploit of a website whereby u...
asp.net web api 编写防止 CSRF 攻击
03-29
ASP.NET Web API 可以通过以下方式来防止 CSRF 攻击: 1. 验证 HTTP Referer 头部:HTTP Referer 头部记录了请求来源,可以通过验证 Referer 头部来判断请求是否来自合法的页面。在 Web API 中,可以使用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值