.net mvc @html.antiforgerytoken(),aspnet mvc使用@Html.AntiForgeryToken()防止跨站攻击

最新推荐文章于 2021-06-28 01:45:21 发布
最新推荐文章于 2021-06-28 01:45:21 发布
阅读量572 收藏
点赞数

ASP.NET MVC AntiForgeryToken CSRF 跨站请求伪造 防护机制
关键词由CSDN通过智能技术生成

asp.net mvc中Html.AntiForgeryToken()可以防止跨站请求伪造攻击,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。

举个简单例子,譬如整个系统的公告在网站首页显示,而这个公告是从后台提交的,我用最简单的写法:

网站后台(Home/Index页面)设置首页公告内容,提交到HomeController的Text Action

@using  (Html.BeginForm("Text","Home",FormMethod.Post))

{

@:输入信息:

}

HomeController的Text Action

[HttpPost]

public ActionResult Text()

{

ViewBag.Notice = Request.Form["Notice"].ToString();

return View();

}

填写完公告,提交,显示

e490e992a44385746a238ca00d5a0b79.png 

此时提供给了跨站攻击的漏洞,CSRF一般依赖几个条件

(1)攻击者了解受害者所在的站点

(2)攻击者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie

(3)目标站点没有对用户在网站行为的第二授权此时

现在我们来开始模拟跨站请求,假设请求地址是http://localhost:25873/Home/Text,且也满足2,3的情况。

于是我新建一个AntiForgeryText.html文件,内容如下

html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

在这个html中加了一个隐藏的字段,Name和Id和网站要接收的参数名一样。

我点击了“黑掉这个网站”,呈现如下

9115f5ae935fc0f3f7f62ba79d615ffc.png 

这个就是利用了漏洞把首页的公告给改了,这就是一个简单的跨站攻击的例子。

MVC中通过在页面上使用 Html.AntiForgeryToken()配合在对应的Action上增加[ValidateAntiForgeryToken]特性来防止跨站攻击。

把上面的代码改成

@using  (Html.BeginForm("Text","Home",FormMethod.Post))

{

@Html.AntiForgeryToken()

@:网站公告:

}

[HttpPost]

[ValidateAntiForgeryToken]

public ActionResult Text()

{

ViewBag.Notice = Request.Form["Notice"].ToString();

return View();

}

这样子我在AntiForgeryText.html中点"黑掉这个网站",再次发出请求

270f855875148052c29beb0264a9e420.png 

这就成功的防止了跨站攻击

参考资料:asp.net mvc中的@Html.AntiForgeryToken()防止跨站攻击http://www.ourcodelife.com/thread-49179-1-1.html

weixin_39901213
关注
Html.AntiForgeryToken() 防止CSRF攻击 的AJaX应用
dz45693的专栏
11-21 4155
有关Html.AntiForgeryToken()的使用其实网上的说明很多了,比如http://blog.csdn.net/cpytiger/article/details/8781457 那么我们写的AJAX调用怎么办了,难道需要修改所有的ajax请求数据吗?我个人比较懒惰喜欢写一个通用的代码.其实原理很简单就是拦截ajax请求,然后追加自己的数据.注意在ajax传输数据的时候可以
ASP.NET MVC之下拉框绑定四种方式
Simon1003的博客
09-07 1353
前言 上两节我们讲了文件上传的问题,关于这个上传的问题还未结束,我也在花时间做做分割大文件处理以及显示进度的问题,到时完成的话再发表,为了不耽误学习MVC其他内容的计划,我们今天开始好好讲讲关于MVC中下拉框中绑定枚举的几种方式。 话题引入 一般在下拉框中绑定数据的话,分为几种情况。 (1)下拉框中的数据是写死的,我们直接给出死代码即可。 (2)下拉框中的数据从数据库中读取出来,从而进行...
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 4万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
[Asp.net MVC]Html.AntiForgeryToken()
weixin_34360651的博客
04-25 266
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
MVC防止跨站攻击@Html.AntiForgeryToken()
weixin_30421809的博客
06-05 201
ASP.NET MVC 中有个标签:@Html.AntiForgeryToken(),需要在页面中加入这个标签,然后在Actoin中加入特性[ValidateAntiForgeryToken]就可以了。 参考:https://www.cnblogs.com/liangdaye/p/4511268.html 转载于:https://www.cnblogs.com/xsj1989/p/9...
.NET MVC inspinia后台管理模板
03-30
使用.NET MVC Inspinia模板开发后台管理系统,可以享受以下优势: 1. **快速开发**:模板提供的预设布局和组件大大减少了编码时间,让开发者可以更专注于业务逻辑。 2. **响应式设计**:利用Bootstrap的响应式特性...
asp html表单没有csrf保护,ASP.NET MVC 和网页中的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 499
ASP.NET MVC 和网页中的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET 的表单身份验证...
Asp.net MVC CSRF攻击防御,添加防伪令牌
a616724623的博客
03-27 1957
第一步:页面加上令牌页面加上@Html.AntiForgeryToken(),它会在页面生成一个请求令牌,当然cookie也有一个,不需要管它第二步:请求中带上令牌在请求的数据里面加上这个令牌,可以在from里面直接加上@Html.AntiForgeryToken(),如果是ajax请求,那就在参数里面加上这个题外:        因为我接手的是一个已经做得差不多的项目,不可能去每个ajax里面去...
ASP.NET MVC 下拉列表实现
laojiang360的专栏
07-19 2600
http://www.cnblogs.com/CreateMyself/p/5424894.html
@Html.AntiForgeryToken() 源码分析,表单防伪码的生成
weixin_30430169的博客
01-17 850
源码来自MVC4@Html.AntiForgeryToken() 源码分析 public MvcHtmlString AntiForgeryToken() { return new MvcHtmlString(AntiForgery.GetHtml().ToString()); } AntiForgery源自System.Web.Helpers.AntiForgery ...
aspnet mvc使用@Html.AntiForgeryToken()防止跨站攻击
chenyili1019的博客
03-30 402
asp.net mvcHtml.AntiForgeryToken()可以防止跨站请求伪造攻击,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。举个简单...
.net mvc @html.antiforgerytoken(),HtmlHelper.AntiForgeryToken 方法 (System.Web.Mvc) | Microsoft Docs...
weixin_29358811的博客
06-20 196
注意This method is deprecated. Use the AntiForgeryToken() method instead. To specify a custom domain for the generated cookie, use the configuration element. To specify custom data to be embedded within...
@html.antiforgerytoken() 原理,HtmlHelper.AntiForgeryToken Method (System.Web.Mvc) | Microsoft Docs
weixin_39553423的博客
06-03 192
CautionThis method is deprecated. Use the AntiForgeryToken() method instead. To specify a custom domain for the generated cookie, use the configuration element. To specify custom data to be embedded w...
ASP.NET MVC防止跨站请求攻击(CSRF)
weixin_30505225的博客
08-19 368
转载 http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.htmlASP.NET MVC 裡為了要防止 CSRF (Cross-Site Request Forgery) 跨站偽造請求的攻擊,我們可以在 View 的表單中加入「@Html.AntiForgeryToken」然後在對...
@html.antiforgerytoken() 原理,Html.AntiForgeryToken只有IIdentity
weixin_35973657的博客
06-03 408
我有一个实现IIdentity的自定义标识,但它不会从ClaimsIdentity继承 . 在过去,只要它实现了IIdentity,您就可以拥有一个可以正常运行的自定义标识 .我已经将ClaimsAuthenticationManager用于将外部SSO进程映射到我的自定义标识上 . 由于每个提供程序都可以呈现不同的声明集,因此我使用ClaimsAuthenticationManager将它们映射...
ASP.NET MVC AntiForgeryToken
Travelling1006的专栏
07-18 142
你开发一个网站,其中有个功能:新闻发布。 你是这样实现的: 1.保存新闻的方法是:/News/Save POST提交 2.接受两个参数:title和content 有一天,你登录网站(浏览器会保存相关cookie),发布了一条新闻,发布成功。 然后打开了NSFW网站(你站点的相关cookie还在),这个网站等你很久了,他知道你的新闻发布功能的实现,于是在页面中嵌入一段脚本,模...
iis7.5发布asp.net mvc 403.14错误
最新发布
01-21
使用IIS 7.5发布ASP.NET MVC应用程序时,可能会遇到403.14错误。这个错误通常是由于IIS无法访问到请求的目录或文件导致的。 要解决这个问题,你可以采取以下步骤: 1. 确认你的应用程序已正确地部署到IIS。确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值