asp html表单没有csrf保护,CSRF在ASP.NET Core中的处理方法详解

最新推荐文章于 2024-05-04 08:00:00 发布
最新推荐文章于 2024-05-04 08:00:00 发布
阅读量460 收藏 1
点赞数
文章标签: asp html表单没有csrf保护

前言

前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。

在梳理之前,还需要简单了解一下背景知识。

AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。

那么什么是CSRF呢?

CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

简单理解的话就是:有人盗用了你的身份,并且用你的名义发送恶意请求。

最近几年,CSRF处于不温不火的地位,但是还是要对这个小心防范!

下面从使用的角度来分析一下CSRF在 ASP.NET Core中的处理,个人认为主要有下面两大块

视图层面

控制器

层面视图层面

用法

@Html.AntiForgeryToken()

在视图层面的用法相对比较简单,用的还是HtmlHelper的那一套东西。在Form表单中加上这一句就可以了。

原理浅析

当在表单中添加了上面的代码后,页面会生成一个隐藏域,隐藏域的值是一个生成的token(防伪标识),类似下面的例子

其中的name="__RequestVerificationToken"是定义的一个const变量,value=XXXXX是根据一堆东西进行base64编码,并对base64编码后的内容进行简单处理的结果,具体的实现可以参见Base64UrlTextEncoder.cs

生成上面隐藏域的代码在AntiforgeryExtensions这个文件里面,github上的源码文件:AntiforgeryExtensions.cs

其中重点的方法如下:

public void WriteTo(TextWriter writer, HtmlEncoder encoder)

{

writer.Write("

encoder.Encode(writer, _fieldName);

writer.Write("\" type=\"hidden\" value=\"");

encoder.Encode(writer, _requestToken);

writer.Write("\" />");

}

相当的清晰明了!

控制器层面

用法

[ValidateAntiForgeryToken]

[AutoValidateAntiforgeryToken]

[IgnoreAntiforgeryToken]

这三个都是可以基于类或方法的,所以我们只要在某个控制器或者是在某个Action上面加上这些Attribute就可以了。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]

原理浅析

本质是Filter(过滤器),验证上面隐藏域的value

过滤器实现:ValidateAntiforgeryTokenAuthorizationFilter和AutoValidateAntiforgeryTokenAuthorizationFilter

其中 AutoValidateAntiforgeryTokenAuthorizationFilter是继承了ValidateAntiforgeryTokenAuthorizationFilter,只重写了其中的ShouldValidate方法。

下面贴出ValidateAntiforgeryTokenAuthorizationFilter的核心方法:

public class ValidateAntiforgeryTokenAuthorizationFilter : IAsyncAuthorizationFilter, IAntiforgeryPolicy

{

public async Task OnAuthorizationAsync(AuthorizationFilterContext context)

{

if (context == null)

{

throw new ArgumentNullException(nameof(context));

}

if (IsClosestAntiforgeryPolicy(context.Filters) && ShouldValidate(context))

{

try

{

await _antiforgery.ValidateRequestAsync(context.HttpContext);

}

catch (AntiforgeryValidationException exception)

{

_logger.AntiforgeryTokenInvalid(exception.Message, exception);

context.Result = new BadRequestResult();

}

}

}

}

当然这里的过滤器只是一个入口,相关的验证并不是在这里实现的。而是在Antiforgery这个项目上,其实说这个模块可能会更贴切一些。

由于是面向接口的编程,所以要知道具体的实现,就要找到对应的实现类才可以。

在Antiforgery这个项目中,有这样一个扩展方法AntiforgeryServiceCollectionExtensions,里面告诉了我们相对应的实现是DefaultAntiforgery这个类。其实Nancy的源码看多了,看一下类的命名就应该能知道个八九不离十。

services.TryAddSingleton();

其中还涉及到了IServiceCollection,但这不是本文的重点,所以不会展开讲这个,只是提出它在 .net core中是一个重要的点。

好了,回归正题!要验证是否是合法的请求,自然要先拿到要验证的内容。

var tokens = await _tokenStore.GetRequestTokensAsync(httpContext);

它是从Cookie中拿到一个指定的前缀为.AspNetCore.Antiforgery.的Cookie,并根据这个Cookie进行后面相应的判断。下面是验证的具体实现:

public bool TryValidateTokenSet(

HttpContext httpContext,

AntiforgeryToken cookieToken,

AntiforgeryToken requestToken,

out string message)

{

//去掉了部分非空的判断

// Do the tokens have the correct format?

if (!cookieToken.IsCookieToken || requestToken.IsCookieToken)

{

message = Resources.AntiforgeryToken_TokensSwapped;

return false;

}

// Are the security tokens embedded in each incoming token identical?

if (!object.Equals(cookieToken.SecurityToken, requestToken.SecurityToken))

{

message = Resources.AntiforgeryToken_SecurityTokenMismatch;

return false;

}

// Is the incoming token meant for the current user?

var currentUsername = string.Empty;

BinaryBlob currentClaimUid = null;

var authenticatedIdentity = GetAuthenticatedIdentity(httpContext.User);

if (authenticatedIdentity != null)

{

currentClaimUid = GetClaimUidBlob(_claimUidExtractor.ExtractClaimUid(httpContext.User));

if (currentClaimUid == null)

{

currentUsername = authenticatedIdentity.Name ?? string.Empty;

}

}

// OpenID and other similar authentication schemes use URIs for the username.

// These should be treated as case-sensitive.

var comparer = StringComparer.OrdinalIgnoreCase;

if (currentUsername.StartsWith("http://", StringComparison.OrdinalIgnoreCase) ||

currentUsername.StartsWith("https://", StringComparison.OrdinalIgnoreCase))

{

comparer = StringComparer.Ordinal;

}

if (!comparer.Equals(requestToken.Username, currentUsername))

{

message = Resources.FormatAntiforgeryToken_UsernameMismatch(requestToken.Username, currentUsername);

return false;

}

if (!object.Equals(requestToken.ClaimUid, currentClaimUid))

{

message = Resources.AntiforgeryToken_ClaimUidMismatch;

return false;

}

// Is the AdditionalData valid?

if (_additionalDataProvider != null &&

!_additionalDataProvider.ValidateAdditionalData(httpContext, requestToken.AdditionalData))

{

message = Resources.AntiforgeryToken_AdditionalDataCheckFailed;

return false;

}

message = null;

return true;

}

注:验证前还有一个反序列化的过程,这个反序列化就是从Cookie中拿到要判断的cookietoken和requesttoken

如何使用

前面粗略介绍了一下其内部的实现,下面再用个简单的例子来看看具体的使用情况:

使用一:常规的Form表单

先在视图添加一个Form表单

@Html.AntiForgeryToken()

在控制器添加一个Action

[ValidateAntiForgeryToken]

[HttpPost]

public IActionResult AntiForm(string message)

{

return Content(message);

}

来看看生成的html是不是如我们前面所说,将@Html.AntiForgeryToken()输出为一个name为__RequestVerificationToken的隐藏域:

fb55941b0771b13e938c236fe7c13960.png

再来看看cookie的相关信息:

7223d4c65f2997ac1841fd7b1ec7a1ae.png

可以看到,一切都还是按照前面所说的执行。在输入框输入信息并点击按钮也能正常显示我们输入的文字。

155fe0422e1e4e6d083b0e023155cdea.png

使用二:Ajax提交

表单:

@Html.AntiForgeryToken()

js:

$(function () {

$("#btnAjax").on("click", function () {

$("#form2").submit();

});

})

这样子的写法也是和上面的结果是一样的!

怕的是出现下面这样的写法:

$.ajax({

type: "post",

dataType: "html",

url: '@Url.Action("AntiAjax", "Home")',

data: { message: $('#ajaxMsg').val() },

success: function (result) {

alert(result);

},

error: function (err, scnd) {

alert(err.statusText);

}

});

这样,正常情况下确实是看不出任何毛病,但是实际确是下面的结果(400错误):

3b3906ad373406e404aaffb066b247c2.png

相信大家也都发现了问题的所在了!!隐藏域的相关内容并没有一起post过去!!

处理方法有两种:

方法一:

在data中加上隐藏域相关的内容,大致如下:

$.ajax({

//

data: { message: $('#ajaxMsg').val(), __RequestVerificationToken: $("input[name='__RequestVerificationToken']").val()}

});

方法二:

在请求中添加一个header

$("#btnAjax").on("click", function () {

var token = $("input[name='__RequestVerificationToken']").val();

$.ajax({

type: "post",

dataType: "html",

url: '@Url.Action("AntiAjax", "Home")',

data: { message: $('#ajaxMsg').val() },

headers:

{

"RequestVerificationToken": token

},

success: function (result) {

alert(result);

},

error: function (err, scnd) {

alert(err.statusText);

}

});

});

这样就能处理上面出现的问题了!

使用三:自定义相关信息

可能会有不少人觉得,像那个生成的隐藏域那个name能不能换成自己的,那个cookie的名字能不能换成自己的〜〜

答案是肯定可以的,下面简单示范一下:

在Startup的ConfigureServices方法中,添加下面的内容即可对默认的名称进行相应的修改。

services.AddAntiforgery(option =>

{

option.CookieName = "CUSTOMER-CSRF-COOKIE";

option.FormFieldName = "CustomerFieldName";

option.HeaderName = "CUSTOMER-CSRF-HEADER";

});

相应的,ajax请求也要做修改:

var token = $("input[name='CustomerFieldName']").val();//隐藏域的名称要改

$.ajax({

type: "post",

dataType: "html",

url: '@Url.Action("AntiAjax", "Home")',

data: { message: $('#ajaxMsg').val() },

headers:

{

"CUSTOMER-CSRF-HEADER": token //注意header要修改

},

success: function (result) {

alert(result);

},

error: function (err, scnd) {

alert(err.statusText);

}

});

下面是效果:

Form表单:

7289d5f0841bf3bc3c961106715231d0.png

Cookie:

35463673b5f3c069ebd69457c797637e.png

本文涉及到的相关项目:

关于CSRF相关的内容

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。

weixin_39857792
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp html表单没有csrf保护,ASP.NET MVC 和网页的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 456
ASP.NET MVC 和网页的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET表单身份验证...
HTML form without CSRF protection,HTML表单没有CSRF保护
收集盒 Book box
07-18 6804
HTML form without CSRF protection =HTML表单没有CSRF保护  CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台
HTML表单没有CSRF保护漏洞
煜铭2011
06-20 1万+
0x00 背景 CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 恶意攻击者可以利用漏洞攻击做到:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 0x01 修复思路 CSRF的防御可以从服务端和客户端两方面着手,防御
web 扫描漏洞:HTML form without CSRF protection 问题解决
最新发布
dazhong2012的专栏
05-04 643
一.扫描工具:acunetix 二.问题描述 该漏洞主要是利用用户登录网站的session 或 cookie 信息,采用诱导链接,获取用户浏览器的相关session 或 cookie ,发送恶意请求或重复攻击; 三.解决方法 1.在提交浏览器表单信息时,增加 token 或 随机数 参数,并将 参数 写入到 session 信息;后台校验时,通过 对比 表单参数和 session 的参数的一致性,判断表单提交是否是来源于页面的正常请求。 jsp 页面代码如下: <%@ page language
CSRFASP.NET Core处理方法详解
10-18
本文将深入探讨ASP.NET Core处理CSRF方法。 首先,了解AntiForgeryToken的工作原理至关重要。在视图层面上,通过`@Html.AntiForgeryToken()`,会在HTML表单生成一个隐藏字段,其值是一个由系统生成的安全令牌...
ASP.NET编程知识】CSRFASP.NET Core处理方法详解.docx
05-20
ASP.NET编程知识】CSRFASP.NET Core处理方法详解.docx
使用ASP.NET Core,JavaScript和Angular防止CSRF攻击
04-11
3. **验证CSRF令牌**:在控制器的`[ValidateAntiForgeryToken]`属性标记的方法ASP.NET Core会自动检查令牌的有效性。 **JavaScript和AngularCSRF防护** 在JavaScript和Angular应用,我们需要手动处理...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
没有CSRF保护HTML表单
Tastill的博客
08-18 2288
https://blog.csdn.net/qq_29277155/article/details/106868701
html表单缺乏csrf防护,表单验证因缺少CSRF而失败
weixin_39826089的博客
06-19 985
我重置了本地flask环境,但是没有通过捕获它的依赖项,pip freeze然后再将其删除。因此,我不得不重新安装整个堆栈的最新版本。现在,我突然无法使用表单进行验证了。Flask声称CSRF将丢失。def register():form = RegisterForm()if form.validate_on_submit():...return make_response("register.h...
html表单没有csrf保护,如何在Symfony 1.4表单禁用CSRF保护/验证
weixin_36415206的博客
06-19 464
csrf令牌可为你的表单提供保护, 使其免受跨站请求伪造(CSRF)的攻击, 该攻击迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在某些项目, 由于缺少在视图定义同一实体的多种形式的symfony, 你最终将使用HTML手动设计表单(这意味着视图上未呈现任何sfForm实例, 并且没有CSRF保护已启用), 但是使用symfony的默认绑定器存储来自数组的信息, 例如:/...
html表单没的csrf保护,表单csrf保护
weixin_40003046的博客
06-19 1328
## 表单提交和CSRF在本课程,我们将介绍将表单数据提交到服务器的基本工作流程。在此过程,我们将介绍一个新概念:`CSRF`(跨站点请求伪造)。### 新手建议前面几节我们介绍了如何从数据库获取数据,使用 `Tinker` 添加测试数据。接下来我们在页面实现添加数据并展示。> 不论做任何复杂的功能,都是从简单开始,慢慢迭代,这里给新手一个建议,不论做什么都先按照 `路由->控...
【记录】没有CSRF保护HTML表单 漏洞解决办法
热门推荐
Damionew的博客
02-28 1万+
解决方法:Cookies Hashing:每一个表单请求都加入随机的Cookie,由于网站存在XSS漏洞而被偷窃的危险。 在Jsp文件头引入 &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; 在登录的jsp添加 &lt;% //增加随机数,解决 ...
csrf防护的html页面,登录表单是否需要 CSRF 保护
weixin_33246767的博客
06-04 969
2020-02-18 补充:在说『登录 CSRF』之前先说说『CSRF(Cross Site Request Forgery)』,即跨站请求伪造。举一个真实发生过的例子,攻击者先在自己网站上创建一个页面,这个页面有一个表单表单的提交路径却是新浪微博发新微博的地址,并且这个页面有 JS 可以让页面加载完毕的时候就自动提交表单的内容。攻击者再想各种办法,骗新浪微博某些大 V 去点击这个页面的链接,受...
html form without csrf protection,尽管在表单发送CSRF令牌,但不支持Spring Security CSRF 405方法POST...
weixin_35123047的博客
06-18 756
我使用的是Spring框架版本4.3.5.RELEASE . Spring安全版是4.2.2.RELEASE .我正面临一个与CSRF有关的奇怪问题 . 每当我提交一个表单(来自JSP文件), Sometimes it works fine, the form gets submitted without error but sometimes after submitting the form...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值