mvc 与 前端的数据交互安全机制

最新推荐文章于 2022-02-25 10:21:40 发布
最新推荐文章于 2022-02-25 10:21:40 发布
阅读量396 收藏 2
点赞数
分类专栏: C# vue-js 文章标签: 与前端的数据交互安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyljz/article/details/89571168
版权
C# 同时被 2 个专栏收录
75 篇文章 0 订阅
订阅专栏
vue-js
43 篇文章 1 订阅
订阅专栏

通过一些代码过滤验证,与前端使用交互token实现限制访问端,避免使用非正常工具访问,应可满足一些等保需求。
控制器代码:

using Dcampus.Controllers;
using System;
using System.Collections.Generic;
using System.Collections;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Web.Http.Results;
using System.Web.Mvc;
using Common;

namespace Dcampus.Areas.Admin_Areas.Controllers
{
    /// <summary>
    /// 新学生端,所有方法只支持post方式
    /// </summary>
    public class StunController : BaseController
    {
        #region 学生端返回数据封装

        /// <summary>
        /// 交互token字典,key=用户token,value=当前交互token
        /// </summary>
        private static Dictionary<string, Vobj> StuTokenDic = new Dictionary<string, Vobj>();

        /// <summary>
        /// 用户访问对象
        /// </summary>
        protected class Vobj
        {
            /// <summary>
            /// 身份token
            /// </summary>
            public string token { get; set; }

            private Queue<string> cts = new Queue<string>();
            /// <summary>
            /// 交互token
            /// </summary>
            public Queue<string> changeToken { get { return cts; } set { cts = value; } }
            /// <summary>
            /// 访问次数
            /// </summary>
            public int vnums { get; set; }
            /// <summary>
            /// 最后访问时间
            /// </summary>
            public DateTime lastTime { get; set; }
            /// <summary>
            /// 禁止访问
            /// </summary>
            public bool disv { get; set; }
            /// <summary>
            /// 最后访问的路径
            /// </summary>
            public string lastUrl { get; set; }

            public Vobj(string token, string lastToken, DateTime lastTime, string lastUrl)
            {
                this.token = token;
                this.changeToken.Enqueue(lastToken);
                this.lastTime = lastTime;
                this.lastUrl = lastUrl;
            }

        }

        protected JsonResult Msg(AjaxStatu status, object data = null, bool sendtoken = true)
        {
            Hashtable hs = new Hashtable();
            hs.Add("status", status);
            hs.Add("data", data);

            try
            {
                if (sendtoken)
                {
                    hs.Add("ctoken", GetChangeToken());
                }
            }
            catch (Exception e)
            {
                hs["status"] = AjaxStatu.err;
                hs["data"] = string.Format("{0},请联系管理员,并提供当前使用场景截图。", e.Message);
            }
            return Json(hs);
        }

        protected JsonResult ActFunc(Action func, bool chktoken = true)
        {
            if (chktoken)
            {
                try
                {
                    ChkChangeToken();//先检查交互数据token
                }
                catch (Exception e)
                {
                    return Msg(AjaxStatu.err, e.Message, false);
                }
            }
            try
            {
                func();
                return Msg(AjaxStatu.ok);
            }
            catch (Exception e)
            {
                return Msg(AjaxStatu.err, e.Message);
            }
        }

        protected JsonResult ActFunc(Func<object> func, bool chktoken = true)
        {
            if (chktoken)
            {
                try
                {
                    ChkChangeToken();//先检查交互数据token
                }
                catch (Exception e)
                {
                    return Msg(AjaxStatu.err, e.Message, false);
                }
            }
            try
            {
                object data = func();
                return Msg(AjaxStatu.ok, data);
            }
            catch (Exception e)
            {
                return Msg(AjaxStatu.err, e.Message);
            }
        }

        /// <summary>
        /// 获取交互token
        /// </summary>
        /// <returns></returns>
        private string GetChangeToken()
        {
            //未登录
            if (Session["stutoken"] == null)
            {
                throw new Exception("未登录");
            }
            string token = Session["stutoken"].ToString();
            //未找到用户token
            if (!StuTokenDic.ContainsKey(token))
            {
                throw new Exception("请使用合法的访问方式,原因为一");
            }
            //交互token为空
            if (StuTokenDic[token] == null)
            {
                throw new Exception("交互数据出现异常");
            }
            //一定时间段内操作超过一定次数
            var last = StuTokenDic[token];
            if (last.disv)
            {
                throw new Exception("已禁止访问,请退出登录后,再重新登录");
            }
            TimeSpan ts = DateTime.Now - last.lastTime;
            int secs = 5;//访问间隔 5 秒
            int nums = 5;//访问次数 5
            if (Request.Url.AbsolutePath == last.lastUrl)
            {
                if (ts.Seconds <= secs)
                {
                    if (last.vnums >= nums)
                    {
                        last.disv = true;
                        StuTokenDic[token] = last;//禁止访问
                        throw new Exception("请使用合法的访问方式,原因为二");
                    }
                    else
                    {
                        last.vnums++;
                    }
                }
                else
                {
                    last.lastTime = DateTime.Now;
                    last.vnums = 0;
                }
            }
            else
            {
                last.lastTime = DateTime.Now;
                last.vnums = 0;
            }
            last.lastUrl = Request.Url.AbsolutePath;
            string lasttoken = DataAll.Dal.Common.CreateToken();
            last.changeToken.Enqueue(lasttoken);

            while (last.changeToken.Count > 20)
            {
                last.changeToken.Dequeue();
            }

            StuTokenDic[token] = last;

            return lasttoken;
        }

        /// <summary>
        /// 检查当前用户的交互token是否一致
        /// </summary>
        /// <returns></returns>
        private void ChkChangeToken()
        {
            //此时应已登录
            var last = StuTokenDic[Session["stutoken"].ToString()];
            string changeToken = Request.Form["ctoken"];
            if (string.IsNullOrEmpty(changeToken)) { throw new Exception("参数异常"); }
            if (!last.changeToken.Contains(changeToken))
            {
                throw new Exception("交互数据出现异常,请使用合法的访问方式");
            }
        }

        #endregion

        /// <summary>
        /// 获取当前登录用户的token
        /// </summary>
        /// <remarks>此方法不限制访问次数</remarks>
        /// <returns></returns>
        //[AllowAnonymous]
        public JsonResult getCurrent(string sid)
        {
            return ActFunc(() =>
            {
                string url = Request.Url.AbsolutePath;
                if (Session["stutoken"] != null)
                {
                    string token = Session["stutoken"].ToString();
                    if (!StuTokenDic.ContainsKey(token))
                    {
                        StuTokenDic.Add(token, new Vobj(token, DataAll.Dal.Common.CreateToken(), DateTime.Now, url));
                    }

                    return new { token = token };
                }
                else
                {
                    if (!string.IsNullOrEmpty(sid))
                    {
                        if (oc.CurrentUser != null)
                        {
                            if (oc.CurrentUser.barcode == sid)
                            {
                                string token = DataAll.Dal.Common.CreateToken();
                                Session["stutoken"] = token;
                                StuTokenDic.Add(token, new Vobj(token, DataAll.Dal.Common.CreateToken(), DateTime.Now, url));
                                return new { token = token, ctoken = StuTokenDic[token].changeToken };
                            }
                            else
                            {
                                throw new Exception("未登录");
                            }
                        }
                        else
                        {
                            throw new Exception("未登录");
                        }

                    }
                    else
                    {
                        throw new Exception("未登录");
                    }
                }
            }, false);
        }

        /// <summary>
        /// 获取用户权限菜单树
        /// </summary>
        /// <returns></returns>
        public JsonResult getPerTree()
        {
            return ActFunc(() =>
            {
                return oc.UserPermission;
            });
        }

        /// <summary>
        /// 退出登录
        /// </summary>
        /// <returns></returns>
        public void logout()
        {
            string token = Session["stutoken"].ToString();
            StuTokenDic.Remove(token);
            Session.Abandon();
        }
    }
}

mvc中的过滤器,加入对stun的免过滤判断

 public class FilterConfig
    {
        public static void RegisterGlobalFilters(GlobalFilterCollection filters)
        {
            //       filters.Add(new HandleErrorAttribute());
            //注册过滤器
            //filters.Add(new LoginValidateAttribute());
            //filters.Add(new DataAll.Filter.LoginValidateAttribute());
            filters.Add(new LoginAttribute());
            filters.Add(new CustomErrorProcessAttribute());
        }
    }

    public class LoginAttribute : AuthorizeAttribute
    {
        #region  在过程请求授权时调用
        //
        // 摘要: 
        //     在过程请求授权时调用。
        //
        // 参数: 
        //   filterContext:
        //     筛选器上下文,它封装有关使用 System.Web.Mvc.AuthorizeAttribute 的信息。
        //
        // 异常: 
        //   System.ArgumentNullException:
        //     filterContext 参数为 null。
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            string strAreaName = "";
            if (filterContext.RouteData.DataTokens["area"] != null)
                strAreaName = filterContext.RouteData.DataTokens["area"].ToString().ToLower();
            string strControllerName = filterContext.ActionDescriptor.ControllerDescriptor.ControllerName.ToLower();
            string strActionName = filterContext.ActionDescriptor.ActionName.ToLower();
            string strHttpMethod = filterContext.HttpContext.Request.HttpMethod;

            //新学生端跳过验证
            if (strControllerName == "stun")
            {
                return;
            }

            var actionAnonymous = filterContext.ActionDescriptor.GetCustomAttributes(typeof(AllowAnonymousAttribute), true) as IEnumerable<AllowAnonymousAttribute>;
            if (actionAnonymous != null && actionAnonymous.Any())
            {
                return;
            }

            /**
             * 如果请求的区域包含area并且area的名称等于Admin_Areas
             * 那么就进行权限验证 
             * */
            if (filterContext.RouteData.DataTokens.Keys.Contains("area"))
            {
                /**
                   * 验证用户是否登录
                   * */
                if (filterContext.HttpContext.Request.Cookies.Get(OperContext.LOGINID) == null || string.IsNullOrEmpty(filterContext.HttpContext.Request.Cookies.Get(OperContext.LOGINID).Value))
                {
                    #region 开发期自动登录
                    string isdevelop = System.Configuration.ConfigurationManager.AppSettings["isdevelop"];
                    if (!string.IsNullOrEmpty(isdevelop))
                    {
                        DataAll.Dal.Users.UserImpl.Login("wyl", "1234", "wyl");
                        return;
                    }
                    else
                    {
                        filterContext.Result = new BaseController().Redirect("/AdminLogin/Login?msg=noLogin1", filterContext.ActionDescriptor, AjaxStatu.nologin);
                    }
                    #endregion
                    return;
                }
                if (!Model_sys_users.IsLogin())
                {
                    string isdevelop = System.Configuration.ConfigurationManager.AppSettings["isdevelop"];
                    if (!string.IsNullOrEmpty(isdevelop))
                    {
                        DataAll.Dal.Users.UserImpl.Login("wyl", "1234", "wyl");
                        return;
                    }
                    else
                    {
                        //如果没有登录那么就跳转到登录页面
                        filterContext.Result = new BaseController().Redirect("/AdminLogin/Login?msg=noLogin2", filterContext.ActionDescriptor, AjaxStatu.nologin);
                    }
                }
                else
                {
                    List<string> roles = (List<string>)HttpContext.Current.Session["userRole"];
                    string limstr = System.Configuration.ConfigurationManager.AppSettings["stulimit"];

                    if (!string.IsNullOrEmpty(limstr))
                    {
                        string[] lims = limstr.Split('|');
                        if (roles != null)
                        {
                            if (roles.Count == 1)
                            {
                                if (roles[0].ToLower() == "student")
                                {
                                    bool allow = false;
                                    foreach (string c in lims)
                                    {
                                        if (c.ToLower() == strControllerName.ToLower())
                                        {
                                            allow = true;
                                            break;
                                        }
                                    }
                                    if (!allow)
                                    {
                                        filterContext.Result = new BaseController().Redirect("/AdminLogin/Login?msg=noPermission", filterContext.ActionDescriptor, AjaxStatu.noperm);
                                        return;
                                    }
                                }
                            }
                        }
                    }

                    //设置滑动时间
                    Model_sys_users.SetNewTime();
                    //if (Model_USERS.LoginName == "admin")
                    //   return;
                    /**
                     * Action方法本身及它所属控制器都没有定义Skip特性
                     * 那么就可以进行权限验证
                     * */
                    if (!filterContext.ActionDescriptor.AttributeExists<Common.Attributes.SkipAttribute>(false)
                        && !filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(Common.Attributes.SkipAttribute), false))
                    {
                        //验证该登录用户是否有访问该页面的权限
                        HttpMethod httpMethod = strHttpMethod.ToLower().Equals("get") ? HttpMethod.Get
                            : strHttpMethod.ToLower().Equals("post") ? HttpMethod.Post : HttpMethod.HEAD;
                        if (Model_sys_module.IsCheckPermission(strAreaName, strControllerName, strActionName))//需验证
                            if (!Model_sys_module.HasPermission(strAreaName, strControllerName, strActionName))
                            {
                                filterContext.Result = new BaseController().Redirect("/AdminLogin/Login?msg=noPermission", filterContext.ActionDescriptor, AjaxStatu.noperm);
                            }
                    }
                }
            }

        }
        #endregion
    }

vue中的路由验证,放在app.vue中的mounted中

mounted() {
    //刷新浏览器时清除缓存
    tools.delCookie(tools.utoken);
    tools.delCookie(tools.ctoken);

    //重新获取token
    this.axios.post("/admin_areas/stun/getCurrent").then(response => {
      tools.chkResult(
        response.data,
        function() {
          tools.setCookie(tools.utoken, response.data.data.token);
          tools.setCookie(tools.ctoken, response.data.ctoken);
          tools.post("/admin_areas/stun/test1", null, function(res) {
            console.log(res);
          });
          tools.post("/admin_areas/stun/getpertree", null, function(res) {
            console.log(res);
          });
        },
        function() {
          window.location.href = "/adminlogin/login";
        }
      );
    });

    // this.axios.post("/admin_areas/res/gettitle").then(response => {
    //   this.title = response.data;
    // });
  },

tools.vue中封装cookie和post方法,post方法中给参数加入ctoken值,并用chkResult来接收返回值取出ctoken写入cookie


<script>
import axios from 'axios'
import qs from 'qs'

const utoken = "edustu";
const ctoken = "dbtoken";

function getCookie(name) {
  var arr,
    reg = new RegExp("(^| )" + name + "=([^;]*)(;|$)");
  if ((arr = document.cookie.match(reg))) return unescape(arr[2]);
  else return null;
}

function setCookie(name, value) {
  document.cookie = name + "=" + escape(value) + ";";
}

function delCookie(name) {
  var date = new Date();
  date.setTime(date.getTime() - 1);
  var delValue = getCookie(name);
  if (!!delValue) {
    document.cookie = name + "=" + delValue + ";expires=" + date.toGMTString();
  }
}

function chkResult(data, funok, funerr) {
  if (data.data.status == 1) {
    setCookie(ctoken, data.data.ctoken);//写入cookie
    if (funok) {
      funok();
    }
  } else {
    if (funerr) {
      funerr();
    } else {
      if (data.data.indexOf("未登录") >= 0  || data.data.indexOf("原因为一")>=0 )   {
        window.location.href="/adminlogin/login"
      } else {
        alert(data.data);
      }
    }
  }
}

function post(url,p,func){
  if(!p){
    p={};
  }
  p.ctoken=getCookie(ctoken);
  axios.post(url,qs.stringify(p),{
        headers: {
            'Content-Type':'application/x-www-form-urlencoded; charset=UTF-8'
          }
      }).then(response => {
      func(response);
    });
}

export default {
  utoken,
  ctoken,
  getCookie,
  setCookie,
  delCookie,
  chkResult,
  post
};
</script>

这个方案还有弊端,并不完善,慎用

wyljz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
等保测评项目管理系统的设计与实现
10-11
本系统能够为等保测评机构的员工提供方便快速的项目管理服务。本系统应用Java语言,利用Java EE中的JSP/Servlet组件,采用MVC架构,把MyEclipse作为开发软件,使用Tomcat服务器,配合MySQL数据库来进行开发。本系统要实现的功能是用户登录、项目信息管理、员工信息管理、任务进度管理、回款信息管理、个人信息管理、用户信息管理和查看统计信息。
Spring MVC前端与后端5种ajax交互方法【总结】
10-20
在本文中,我们将探讨Spring MVC框架中前端与后端进行Ajax交互的五种方法。Ajax技术允许我们在不刷新整个页面的情况下与服务器进行异步通信,极大地提高了用户体验。下面,让我们逐一了解这五种交互方式。 **方式一...
asp.net MVC 常见安全问题及解决方案
weixin_30512785的博客
04-15 165
一.CSRF Example : 在登陆状态下进入了攻击网站向安全站点发送了请求。 Solution: 在view 中使用 @Html.AntiForgeryToken(), 在Action 上加上 [ValidateAntiForgeryToken] 特性。 再次点到跨域请求的时候就会显示 : “The required anti-forge...
SpringMVC应用安全机制学习笔记
yichengjie_c的博客
01-31 177
基于basic的安全认证 Basic认证@Component public class BasicAuthenticationFilter extends OncePerRequestFilter { @Autowired private UserRepository repository ; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletRe
ASP.NET MVC中的安全
寒冰屋的专栏
09-06 1108
目录 介绍 认证 表单身份验证 Windows身份验证 如何配置表单身份验证? 我们如何使用Windows身份验证进行身份验 XSS Anti XSS Library 跨站点请求伪造 那问题是什么? 我们怎样才能防止这种情况? 介绍 在本文中,我想解释一些在开发安全的ASP.NET MVC应用程序时应该注意的安全措施。在本文中,我将解释: 认证 授权 XSS CS...
ASP.NET MVC安全简介
Free雅轩的博客
02-25 141
为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序:添加安全MVC 应用程序安全 Models 文件夹包含表示应用程序模型的类。 Visual Web Developer 自动创建 AccountModels.cs 文件,该文件包含用于应用程序认证的模型。 AccountModels 包含 LogOnModel、ChangePasswordModel 和 RegisterModel: Change Password 模型 public class Chang
SpringMVC前端和后端数据交互总结
08-31
它提供了一个灵活的机制来处理前端和后端之间的数据交互。在本篇文章中,我们将总结SpringMVC前端和后端数据交互的相关知识点。 控制器(Controller) 控制器是SpringMVC中的核心组件之一,负责接收前端的请求并将...
java前端交互
11-06
Java前端交互是Web开发中的重要环节,涉及到服务器与客户端之间的数据传输、状态管理以及用户界面的实时更新。在这个过程中,Java通常作为后端语言处理业务逻辑,而前端则负责展示和用户交互。以下是对给定文件信息...
ThinkPHP的MVC开发机制实例解析
10-25
首先,模型(Model)是MVC的核心,它是与数据直接交互的组件,负责数据的获取、更新和删除。在ThinkPHP中,模型通常继承自框架提供的基类Model,并包含访问数据库的逻辑。例如,示例中的TestModel类扩展了ThinkPHP的...
MVC 与 MVVM 的深入剖析:区别与示例代码的震撼呈现
最新发布
06-19
模型不直接与视图或视图模型交互,而是通过数据绑定机制来同步数据。 2. **View(视图)**:视图在MVVM中同样是用户界面,但它的职责更偏向于展示,不包含任何业务逻辑。视图通过数据绑定与视图模型进行通信,当...
asp.net mvc中的安全
weixin_30315723的博客
07-30 218
1.重复提交攻击:通过Bind特性指定要绑定和不绑定的值。 2.Cookie盗窃:阻止脚本对站点中Cookie的访问,webconfig文件中添加<HttpCookies domain="" httpOnlyCookies="true" requireSSL="false"> 3.开放重定向:登录重定向是开放重定向攻击的一个目标,用Url.IsLocalURl()方法验证重定向地址...
MVC数据底层联合JQUERY实现动态的安全的验证机制
weixin_33738982的博客
12-06 84
实体的验证分部类定义如下 前台controller里进行数据有效性的验证,成功就进行数据处理,不成功就返回错误 前台页面配合JQuery强大的验证功能,实现动态验证 MVC集成表单验证输出单元,显示验证错误消息 怎么样,MVC够酷吧,呵呵! 本文转自博客园张占岭(仓储大叔)的博客,原文链接:MVC数据底层联合JQUERY实现动态的安全的验证...
MVC 应用程序的安全
dianyujiang7819的博客
07-11 141
1、[Authorize]   为控制器设置访问权限。如:角色、用户、角色和用户结合(可以设置一个或多个,中间用逗号隔开)。 如下例:  【角色】  [Authorize(Roles="Administrator,Guest,SuperAdmin")]  【用户】  [Authorize(Users="Jon,Jim,Scott")]  【角色和用户】  [Authorize(Role...
MVC框架安全
杨春建的博客
09-11 1003
数据的流入来看,用户提交的数据先后流经了View层、Controller、Model层,数据的流出则反过来。在设计安全方案时,要牢牢把握住数据这个关键因素。在MVC框架中,通过切片、过滤器等方式,往往能对数据进行全局处理,这为设计安全方案提供了极大的便利。 比如在Spring Security中,通过URL pattern实现的访问控制,需要由框架来处理所有用户请求,在Spring Secur...
使用签名来保证ASP.NET MVC OR WEBAPI的接口安全
andy930606的博客
09-22 305
当我们开发一款App的时候,App需要跟后台服务进行通信获取或者提交数据。如果我们没有完善的安全机制则很容易被别用心的人伪造请求而篡改数据。 所以我们需要使用某种安全机制来保证请求的合法。现在最常用的办法是给每个http请求添加一个签名,服务端来验证签名的合法性,如果签名合法则执行响应的操作,如果签名非法则直接拒绝请求。 签名算法 签名算法一般都使用Hash散列算法,常用的有MD5,SH...
MVC安全:打破固定会话
寒冰屋的专栏
03-26 290
       最近项目空窗期,所以相对有时间来对之前做的一些项目做一个总结,今天记录的内容是关于mvc登录后固定会话打破的知识点,当然这方面在做项目是也在网上找了相关资料总结、取舍,如果有更多的方式,也欢迎分享。1、在webconfig中配置登录过期时间注:a、name自定义,每个项目的最好有自己唯一的name;b、timeout的单位是分钟;2、通过登录时注册session和加密cookie,使...
C# web api 中过滤器的使用
明仔丶的博客
11-05 4642
Fiter在Web API中经常会用到,主要用于记录日志,安全验证,全局错误处理等;Web API提供两种过滤器的基本类型:actionfilterattribute,exceptionfilterattribute;两个类都是抽象类,actionfilter主要实现执行请求方法体之前(覆盖基类方法OnActionExecuting),和之后的事件处理(覆盖基类方法OnActionExecuted...
ASP.NET MVC:删除与修改数据前端与后端实现
本文详细解释了在ASP.NET MVC开发中如何利用前端JavaScript与后台EF配合,实现数据的删除功能。从路由配置到控制器方法的编写,每个环节都是确保数据安全性和用户体验的关键步骤。同时,理解这些概念有助于开发者更...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值