MVC Html.AntiForgeryToken() 防止CSRF攻击
(一)MVC Html.AntiForgeryToken() 防止CSRF攻擊
MVC中的Html.AntiForgeryToken()是用來防止跨站請求偽造(CSRF:Cross-site request forgery)攻擊的一個措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻擊不同,XSS一般是利用站內信任的用戶在網站內插入惡意的腳本代碼進行攻擊,而CSRF則是偽造成受信任用戶對網站進行攻擊。
舉個簡單例子,譬如整個系統的公告在網站首頁顯示,而這個公告是從后臺提交的,我用最簡單的寫法:
網站后臺(Home/Index頁面)設置首頁公告內容,提交到HomeController的Text Action
[html]?view plaincopyHomeController的Text Action
[csharp]?view plaincopy
填寫完公告,提交,顯示
此時提供給了跨站攻擊的漏洞,CSRF一般依賴幾個條件
(1)攻擊者了解受害者所在的站點
(2)攻擊者的目標站點具有持久化授權cookie或者受害者具有當前會話cookie
(3)目標站點沒有對用戶在網站行為的第二授權此時
具體參見http://baike.baidu.com/view/1609487.htm
現假設我知道我要攻擊的網站的地址,譬如是http://localhost:6060/Home/Text,且也滿足2,3的情況。
于是我新建一個AntiForgeryText.html文件,內容如下:
[html]?view plaincopy在這個html中加了一個隱藏的字段,Name和Id和網站要接收的參數名一樣。
我點擊了“黑掉這個網站”,呈現如下
?這個就是利用了漏洞把首頁的公告給改了,這就是一個簡單的跨站攻擊的例子。
MVC中通過在頁面上使用?Html.AntiForgeryToken()配合在對應的Action上增加[ValidateAntiForgeryToken]特性來防止跨站攻擊。
把上面的代碼改成
[html]?view plaincopy
對應的Action
這樣子我在AntiForgeryText.html中點"黑掉這個網站",就會出現
這樣就防止了跨站攻擊。
頁面上的Html.AntiForgeryToken()會給訪問者一個默認名為__RequestVerificationToken的cookie
為了驗證一個來自form post,還需要在目標action上增加[ValidateAntiForgeryToken]特性,它是一個驗證過濾器,
它主要檢查
(1)請求的是否包含一個約定的AntiForgery名的cookie
(2)請求是否有一個Request.Form["約定的AntiForgery名"],約定的AntiForgery名的cookie和Request.Form值是否匹配
其中主要涉及到System.Web.WebPages.dll中的靜態類AntiForgery
Html.AntiForgeryToken()調用了AntiForgery靜態類的GetHtml方法,它產生一個隨機值然后分別存儲到客戶端cookie和頁面的hidden field中,
(1)Request.Cookies[antiForgeryTokenName](默認也是Request.Cookies["__RequestVerificationToken"])
(2)頁面上的hiddenfield
[html]?view plaincopy其中cookie的key的名字和頁面hidden field的名字是一樣的,默認都是"__RequestVerificationToken",如果有提供ApplicationPath的話,那就是由"__RequestVerificationToken"和經過處理后的ApplicationPath組成。
Controller端則通過在Action上增加[ValidateAntiForgeryToken]特性來驗證,
ValidateAntiForgeryTokenAttribute繼承了FilterAttribute和IAuthorizationFilter,通過傳遞匿名委托方法,
委托調用AntiForgery類的Validate方法來實現驗證。
Validate方法中主要驗證Request.Cookies[antiForgeryTokenName]和<input?name=antiForgeryTokenName?...>兩個的值是否相同,
如果頁面沒有<input?name=antiForgeryTokenName?...>,或者兩個值不相等,就會拋出異常。
(二)關于CSRF攻擊及mvc中的解決方案 [ValidateAntiForgeryToken]
一.CSRF是什么?
CSRF(Cross-site request forgery),中文名稱:跨站請求偽造,也被稱為:one click attack/session riding,縮寫為:CSRF/XSRF。
二.CSRF可以做什么?
你這可以這么理解CSRF攻擊:攻擊者盜用了你的身份,以你的名義發送惡意請求。CSRF能夠做的事情包括:以你名義發送郵件,發消息,盜取你的賬號,甚至于購買商品,虛擬貨幣轉賬......造成的問題包括:個人隱私泄露以及財產安全。
三.CSRF漏洞現狀
CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年才開始被關注,08年,國內外的多個大型社區和交互網站分別爆出CSRF漏洞,如:NYTimes.com(紐約時報)、Metafilter(一個大型的BLOG網站),YouTube和百度HI......而現在,互聯網上的許多站點仍對此毫無防備,以至于安全業界稱CSRF為“沉睡的巨人”。
四.CSRF的原理
從上圖可以看出,要完成一次CSRF攻擊,受害者必須依次完成兩個步驟:
1.登錄受信任網站A,并在本地生成Cookie。
2.在不登出A的情況下,訪問危險網站B。
看到這里,你也許會說:“如果我不滿足以上兩個條件中的一個,我就不會受到CSRF的攻擊”。是的,確實如此,但你不能保證以下情況不會發生:
1.你不能保證你登錄了一個網站后,不再打開一個tab頁面并訪問另外的網站。
2.你不能保證你關閉瀏覽器了后,你本地的Cookie立刻過期,你上次的會話已經結束。(事實上,關閉瀏覽器不能結束一個會話,但大多數人都會錯誤的認為關閉瀏覽器就等于退出登錄/結束會話了......)
3.上圖中所謂的攻擊網站,可能是一個存在其他漏洞的可信任的經常被人訪問的網站。
以上內容轉自:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
具體步驟:
1、在Html表單里面使用了@Html.AntiForgeryToken()就可以阻止CSRF攻擊。
2、相應的我們要在Controller中也要加入[ValidateAntiForgeryToken]過濾特性。該特性表示檢測服務器請求是否被篡改。注意:該特性只能用于post請求,get請求無效。
3、至于JS,我們的項目中引用的是<script src="@Url.Content("~/Content/js/jqueryToken-1.4.2.js")" type="text/javascript"></script>
在JS時要使用: $.ajaxAntiForgery才行,
如:
?$.ajaxAntiForgery({
??????????? type: "post",
??????????? data: { GroupName: $("#GroupName").val(), GroupPhones: $("#GroupPhones").val() },
??????????? dataType: "json",
??????????? url: "/Event/Mass/AddGroup",
??????????? success: function (data) {
??????????????? if (data) {
??????????????????? alert("添加成功 ");
??????????????????? $.unblockUI();
??????????????? }
??????????????? else {
??????????????????? alert("添加失敗 ");
??????????????? }
???????? }
?})
注:對數據進行增刪改時要防止csrf攻擊!
(三)BeginFormAntiForgeryPost
Orchard1.6中,Module.txt文件中的設置AntiForgery:enable及頁面中BeginFormAntiForgeryPost的作用也是一樣的,不再贅述!
(四)參考網址
http://www.cnblogs.com/dragon_mail/archive/2011/07/10/2102364.html
http://blog.csdn.net/luck901229/article/details/8261640
總結
以上是生活随笔為你收集整理的MVC Html.AntiForgeryToken() 防止CSRF攻击的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 带郑的食物?
- 下一篇: MVC 服务器文件下载