ajax antiforgery,ASP.NET Core 中的Ajax全局Antiforgery Token配置

最新推荐文章于 2022-01-28 13:23:36 发布
最新推荐文章于 2022-01-28 13:23:36 发布
阅读量349 收藏
点赞数
文章标签: ajax antiforgery

前言

本文基于官方文档 《在 ASP.NET Core 防止跨站点请求伪造 (XSRF/CSRF) 攻击》扩展另一种全局配置Antiforgery方法,适用于使用ASP.NET Core Razor + JQuery Ajax的项目,喜欢玩前后端分离的同学可以酌情参考,但希望不要对XSRF/CSRF掉以轻心,更不要不做处理。

Antiforgery Token 介绍

跨站点请求伪造(XSRF/CSRF)攻击跟浏览器中登录验证之后保存的Cookie有关,恶意站点通过向攻击目标站点发起非法请求时,浏览器按规则是会带上Cookie信息的,此时被攻击站点就会认为是用户操作行为,如果被利用在修改密码等操作上,对用户的信息安全就会带来威胁。为抵御 CSRF 攻击最常用的方法是使用同步器标记模式(STP)。 而Antiforgery Token(防伪令牌)是ASP.NET Core中的STP实现方案。

STP的防御过程:

服务器发送到客户端的当前用户的标识相关联的令牌。

客户端返回将令牌发送到服务器进行验证。

如果服务器收到与经过身份验证的用户的标识不匹配的令牌,将拒绝请求。

熟悉ASP.NET和ASP.NET Core的同学应该都不陌生,因为在ASP.NET时期就有防止XSRF攻击的方法,ASP.NET MVC中,IHtmlHelper.BeginForm默认情况下生成防伪令牌,而ASP.NET Core中,使用FormTagHelper默认也会生成防伪令牌的。

解决方案

Form表单提交

TagHelper用法:

...

HtmlHelper 生成Form的用法:

@using (Html.BeginForm("ChangePassword", "Manage"))

{

...

}

普通html form表单用法:

@Html.AntiForgeryToken()

那么在Razor渲染之后,表单中就会生成一个隐藏的表单字段:

那么Ajax中要怎么处理呢?

官方文档虽然有提到Ajax的处理方法,但是它指的Ajax是js原生实现XMLHttpRequest,而不是我们一般所认识的JQuery.ajax。所以本文就要介绍一下在使用JQuery.ajax时的全局配置。

场景一、从普通表单获取Antiforgery Token

这种方法跟上面提到的Form表单提交一致,只要把所生成的隐藏的表单字段也一并提交到服务器即可。

$.ajax({

url:"/Manage/ChangePassword",

type:"post"

data: { "__RequestVerificationToken":"CfDJ8NrAkS ... s2-m9Yw" }

})

但是这种方法有个弊端,就是需要配置的东西很多,又要在Contorller中加[ValidateAntiForgeryToken]特性,又要在表单中处理使其生成隐藏字段。

有没有更方便的方法?当然有!而且即使是文档中号称自动防范 XSRF/CSRF的Razor Pages都同样需要!因为它并没有处理Ajax的场景。

场景二、全局配置,自动处理

全局获取Forgery Token

全局(每个页面)获取Forgery Token就是文档中提到的注入Microsoft.AspNetCore.Antiforgery.IAntiforgery并调用GetAndStoreTokens方法,但是由于需要达到全局获取,我需要把这个方法的调用写到布局页,如默认MVC模版的Views/Shared/_Layout.cshtml

@inject Microsoft.AspNetCore.Antiforgery.IAntiforgery Xsrf

@functions{

public string GetAntiXsrfRequestToken()

{

return Xsrf.GetAndStoreTokens(Context).RequestToken;

}

}

var csrfToken = '@GetAntiXsrfRequestToken()';

Ajax全局配置

JQuery.ajax里全局设置头部的方法是$.ajaxSetup,按照文档,把所需的头部字段RequestVerificationToken配置上上面获取到的令牌变量csrfToken,即可实现在每个Ajax请求都带有Forgery Token。

(function (window, document, $) {

$.ajaxSetup({

headers: {

'RequestVerificationToken': csrfToken

}

});

})(window, document, jQuery);

总结

虽然现在流行前后端分离了,包括我在内,也用上高大上的React、Angular、Vue等优秀框架,Github前端也把JQuery去掉了,但是Razor在ASP.NET Core中的份量有增无减,2.0版本带来了更轻量的Razor Pages, 因此Razor+JQuery的热度不会那么快退去,希望这篇文章能给大家在Razor+JQuery技术的使用过程中带来一点参考价值。

weixin_39851408
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Html.AntiForgeryToken() 防止CSRF攻击 的AJaX应用
dz45693的专栏
11-21 4137
有关Html.AntiForgeryToken()的使用其实网上的说明很多了,比如http://blog.csdn.net/cpytiger/article/details/8781457 那么我们写的AJAX调用怎么办了,难道需要修改所有的ajax请求数据吗?我个人比较懒惰喜欢写一个通用的代码.其实原理很简单就是拦截ajax请求,然后追加自己的数据.注意在ajax传输数据的时候可以
ajax antiforgery,在 AJAX 裡使用 AntiForgeryToken - (MVC)
weixin_36297610的博客
08-06 392
AJAX 裡使用 AntiForgeryToken - (ASP.NET MVC 防範 CSRF 攻擊)在MVC的架構底下,要防止CSRF 攻擊可以在檢視頁面上加入使用 AntiFrogeryToken,並且在後端所對應的 Action 方法加上Attribute[ValidateAntiForgeryToken]作法很簡單,但是如果我今天想要使用Ajax去跟後端互動,該如何使用AntiFr...
Ajax使用AntiForgeryToken,记录一下
ayanamireizero的专栏
08-28 1097
AddAntiForgeryToken = function (data) { data.__RequestVerificationToken = $('input[name=__RequestVerificationToken]').val(); return data; };
Asp.Net Core WebAPI 防御跨站请求伪造攻击
dotNET跨平台
06-28 1589
什么是跨站请求伪造跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session ridin...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
详解JQuery Ajaxasp.net使用总结
01-03
自从有了JQuery,Ajax的使用变的越来越方便了,但是使用还是会或多或少的出现一些让人短时间内痛苦的问题。本文暂时总结一些在使用JQuery Ajax应该注意的问题,如有不恰当或者不完善的地方,欢迎大家指正和补充...
ASP.NET Core实现一个Token base的身份认证实例
10-20
本文将详细介绍如何在ASP.NET Core实现一个基于Token的身份认证实例,重点在于使用JWT(Json Web Tokens)作为Token的实现方式。 传统的Web身份认证通常依赖于Cookie或Session,但这在多终端、API驱动的应用场景...
ASP.NET Core Web API之Token验证
最新发布
06-26
ASP.NET Core Web API采用Token进行身份验证。 主要技术:ASP.NET Core Web API , JWT , Json web token 包括获取TokenToken验证,生成Token等内容 具体可参考个人文章【ASP.NET Core Web API之Token验证】
使用ASP.NET Core、JavaScript和Angular防止CSRF攻击
寒冰屋的专栏
01-28 763
跨站点请求伪造,也称为CSRF(发音为“See-Surf”)、XSRF、一键攻击和会话骑乘,是一种攻击类型,攻击者强制用户在应用程序执行不需要的操作,而用户已登录。攻击者诱骗用户代表他们执行操作。此攻击的影响取决于用户拥有的权限级别。例如,在易受攻击的银行网站,攻击者可以从受害者的账户转移一定数量的资金或取得整个账户的所有权。
C# AntiForgeryToken防XSRF漏洞攻击
一切皆有联系
08-08 9421
XSRF:跨站请求伪造 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 4万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
MVC安全:ajax表单提交切记加上AntiForgeryToken防止跨站请求伪造 (CSRF)攻击
寒冰屋的专栏
03-26 4864
        因为项目使用的是mvc的框架,前端使用的是metronic bootstrap框架,所以在处理表单的提交时就用了ajax的方式进行提交,这样前端js也方便封装,实现代码复用。先看看js端的相关代码下面是ajax部分代码然后我们来看看后台控制情况        如图,需要在新增和修改的方法上面加上两个修饰属性 [HttpPost]和[MyValidateAntiForgeryTok...
.netcore 3.1 反跨站请求伪造
csdn_aspnet的专栏
07-28 306
CSRF验证 services.AddAntiforgery(options => { options.HeaderName = "X-CSRF-TOKEN"; }); 开启全局AntiforgeryToken验证(包括post页面都是需要去携带的) services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute())); 针对单个接口进行防御 [ValidateAn..
自写过滤器替代ValidateAntiForgeryToken解决asp.net mvc关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户的错误
sxf359的博客
09-03 5242
以前写过一篇 asp.net mvc关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户错误的处理 的博文,在那篇博文最后留下了遗憾,在那篇博文自定义的过滤器需要在action 调用两次,才能避免出现关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户这样的错误提示。调用的代码是这样的: [HttpPost] [AllowAnonymous] [LoginAuthoriz
ASP.NET Core的身份认证框架IdentityServer4--入门【转】
weixin_30521161的博客
08-10 733
原文地址 Identity Server 4是IdentityServer的最新版本,它是流行的OpenID Connect和OAuth Framework for .NET,为ASP.NET Core和.NET Core进行了更新和重新设计。在本文,我们将快速了解IdentityServer 4存在的原因,然后直接进入并创建一个从零到英雄的工作实现。 IdentityServer 3与Id...
.NET应用程序安全操作概述
farway000的博客
11-27 930
介绍此页面旨在为开发人员提供.NET安全提示。.NET Framework.NET Framework是Microsoft用于企业开发的主要平台。它是ASP.NET,Windows桌面应...
asp.net core webapi验证
weixin_53370274的博客
12-29 1080
转载:https://www.cnblogs.com/ibeisha/p/jwt-webapi.html 一、Asp.Net Core Web项目的登录认证 在MVC Web项目,做用户登录授权,是必不可少的工作,不知道大家平时是怎么做的,我想,大多朋友还是使用微软提供的一套认证机制,可以省去很多功夫。从WebForm时代的Form身份认证,无非是通过客户端Cookie存储认证票据,在请求受保护的资源时,通过Cookie携带的身份票据,再有Asp.net的认证模块,完整对请求者的身份认证。这一过程,是
asp.net core Antiforgery Token 防范anti 攻击 最简单的使用方法
走错路的程序员
03-01 2788
本来想全局取消这种验证的. 弄来弄去就是关不掉这个验证. 最终敌不过微软的强大. 妥协了. 还是乖乖的在ajax增加RequestVerificationToken 属性吧. 但是又嫌在每个请求都加这个参数实在是太麻烦. 后来灵光一闪. 可以像下面这样搞. 简单多了. 在_layout.cshtml 页面增加一个标记就可以了. <script src="jquery.js">&...
ASP.NET Core实战:基于Token的身份验证教程
"本文档主要介绍了如何在ASP.NET Core实现基于Token的身份认证,特别是使用JwtSecurityTokenHandler来创建Bearer Token的实例。" 在ASP.NET Core,身份验证机制的实现可以多样化,传统的Cookie和Session方式在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值