1. 程式人生 > >.NET Core實戰項目之CMS 第十四章 開發篇-防止跨站請求偽造(XSRF/CSRF)攻擊處理

.NET Core實戰項目之CMS 第十四章 開發篇-防止跨站請求偽造(XSRF/CSRF)攻擊處理

部分 不錯 腳本註入 move 跟著 attribute 存在 serve 下一個

通過 ASP.NET Core,開發者可輕松配置和管理其應用的安全性。 ASP.NET Core 中包含管理身份驗證、授權、數據保護、SSL 強制、應用機密、請求防偽保護及 CORS 管理等等安全方面的處理。 通過這些安全功能,可以生成安全可靠的 ASP.NET Core 應用。而我們這一章就來說道說道如何在ASP.NET Core中處理“跨站請求偽造(XSRF/CSRF)攻擊”的,希望對大家有所幫助!

本文已收錄至《.NET Core實戰項目之CMS 第一章 入門篇-開篇及總體規劃》
作者:依樂祝
原文地址:https://www.cnblogs.com/yilezhu/p/10229954.html

寫在前面

上篇文章發出來後很多人就去GitHub上下載了源碼,然後就來問我說為什麽登錄功能都沒有啊?還有很多菜單點著沒反應。這裏統一說明一下,是因為我的代碼是跟著博客的進度在逐步完善的,等這個系列寫完的時候才代表這個CMS系統的完成!因此,現在這個CMS系統還是一個半成品,不過我會盡快來完成的!廢話不多說,下面我們先介紹一下跨站請求偽造(XSRF/CSRF)攻擊”的概念,然後再來說到一下ASP.NET Core中是如何進行處理的吧!

什麽是跨站請求偽造(XSRF/CSRF)

在繼續之前如果不給你講一下什麽是跨站請求偽造(XSRF/CSRF)的話可能你會很懵逼,我為什麽要了解這個,不處理又有什麽問題呢?

CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防範的資源也相當稀少)和難以防範,所以被認為比XSS更具危險性。
CSRF在 2007 年的時候曾被列為互聯網 20 大安全隱患之一。其他安全隱患,比如 SQL 腳本註入,跨站域腳本攻擊等在近年來已經逐漸為眾人熟知,很多網站也都針對他們進行了防禦。然而,對於大多數人來說,CSRF 卻依然是一個陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在著 CSRF 漏洞,從而被黑客攻擊而使 Gmail 的用戶造成巨大的損失。

跨站請求偽造(XSRF/CSRF)的場景

這裏為了加深大家對“跨站請求偽造(XSRF/CSRF)”的理解可以看如下所示的圖:
技術分享圖片

如上圖所示:

  1. 用戶瀏覽位於目標服務器 A 的網站。並通過登錄驗證。

  2. 獲取到 cookie_session_id,保存到瀏覽器 cookie 中。

  3. 在未登出服務器 A ,並在 session_id 失效前用戶瀏覽位於 hacked server B 上的網站。

  4. server B 網站中的<img src = "http://www.cnblog.com/yilezhu?creditAccount=1001160141&transferAmount=1000">嵌入資源起了作用,迫使用戶訪問目標服務器 A

  5. 由於用戶未登出服務器 A 並且 sessionId 未失效,請求通過驗證,非法請求被執行。

試想一下如果這個非法請求是一個轉賬的操作會有多恐怖!

跨站請求偽造(XSRF/CSRF)怎麽處理?

既然跨站請求偽造(XSRF/CSRF)有這麽大的危害,那麽我們如何在ASP.NET Core中進行處理呢?
其實說白了CSRF能夠成功也是因為同一個瀏覽器會共享Cookies,也就是說,通過權限認證和驗證是無法防止CSRF的。那麽應該怎樣防止CSRF呢?其實防止CSRF的方法很簡單,只要確保請求是自己的站點發出的就可以了。那怎麽確保請求是發自於自己的站點呢?ASP.NET Core中是以Token的形式來判斷請求。我們需要在我們的頁面生成一個Token,發請求的時候把Token帶上。處理請求的時候需要驗證Cookies+Token。這樣就可以有效的進行驗證了!
其實說到這裏可能有部分童鞋已經想到了,@Html.AntiForgeryToken() 沒錯就是它,在.NET Core中起著防止 跨站請求偽造(XSRF/CSRF)的作用,想必大夥都會使用!下面我們再一起看看ASP.NET Core的使用方式吧。

ASP.NET Core MVC是如何處理跨站請求偽造(XSRF/CSRF)的?

警告:
ASP.NET Core使用 ASP.NET Core data protection stack 來實現防請求偽造。如果在服務器集群中需配置 ASP.NET Core Data Protection,有關詳細信息,請參閱 Configuring data protection。

在ASP.NET Core MVC 2.0或更高版本中,FormTagHelper為HTML表單元素註入防偽造令牌。例如,Razor文件中的以下標記將自動生成防偽令牌:

        <form method="post">
            ···
        </form>

類似地, IHtmlHelper.BeginForm默認情況下生成防偽令牌,當然窗體的方法不是 GET。(你懂的)

當Html表單包含method="post"並且下面條件之一 成立是會自動生成防偽令牌。

  • action屬性為空( action="") 或者
  • 未提供action屬性(<form method="post">)。

當然您也可以通過以下方式禁用自動生成HTML表單元素的防偽令牌:

  • 明確禁止asp-antiforgery,例如
<form method="post" asp-antiforgery="false">
    ...
</form>
  • 通過使用標簽幫助器! 禁用語法,從標簽幫助器轉化為表單元素。
<!form method="post">
    ...
</!form>
  • 在視圖中移除FormTagHelper,您可以在Razor視圖中添加以下指令移除FormTagHelper
@removeTagHelper Microsoft.AspNetCore.Mvc.TagHelpers.FormTagHelper, Microsoft.AspNetCore.Mvc.TagHelpers

提示:
Razor頁面會自動受到XSRF/CSRF的保護。您不必編寫任何其他代碼,有關詳細信息,請參閱XSRF/CSRF和Razor頁面。

為抵禦 CSRF 攻擊最常用的方法是使用同步器標記模式(STP)。 當用戶請求的頁面包含窗體數據使用 STP:

  1. 服務器發送到客戶端的當前用戶的標識相關聯的令牌。
  2. 客戶端返回將令牌發送到服務器進行驗證。
  3. 如果服務器收到與經過身份驗證的用戶的標識不匹配的令牌,將拒絕請求。

該令牌唯一且不可預測。 該令牌還可用於確保正確序列化的一系列的請求 (例如,確保請求序列的: 第 1 頁–第 2 頁–第 3 頁)。所有在ASP.NET Core MVC 和 Razor 頁模板中的表單都會生成 antiforgery 令牌。 以下兩個視圖生成防偽令牌的示例:

CSHTML復制

<form asp-controller="Manage" asp-action="ChangePassword" method="post">
    ...
</form>

@using (Html.BeginForm("ChangePassword", "Manage"))
{
    ...
}

顯式添加到防偽令牌<form>而無需使用標記幫助程序與 HTML 幫助程序元素@Html.AntiForgeryToken:

CSHTML復制

<form action="/" method="post">
    @Html.AntiForgeryToken()
</form>

在每個前面的情況下,ASP.NET Core 添加類似於以下一個隱藏的表單字段:

CSHTML復制

<input name="__RequestVerificationToken" type="hidden" value="CfDJ8NrAkS ... s2-m9Yw">

ASP.NET Core 包括三個篩選器來處理 antiforgery 令牌:

  • ValidateAntiForgeryToken
  • AutoValidateAntiforgeryToken
  • IgnoreAntiforgeryToken

防偽選項

自定義防偽選項中Startup.ConfigureServices:

C#復制

services.AddAntiforgery(options => 
{
    // Set Cookie properties using CookieBuilder properties?.
    options.FormFieldName = "AntiforgeryFieldname";
    options.HeaderName = "X-CSRF-TOKEN-yilezhu";
    options.SuppressXFrameOptionsHeader = false;
});

?設置防偽Cookie屬性使用的屬性CookieBuilder類。

選項 描述
Cookie 確定用於創建防偽 cookie 的設置。
FormFieldName 防偽系統用於呈現防偽令牌在視圖中的隱藏的窗體字段的名稱。
HeaderName 防偽系統使用的標頭的名稱。 如果null,系統會認為只有窗體數據。
SuppressXFrameOptionsHeader 指定是否禁止顯示生成X-Frame-Options標頭。 默認情況下,值為"SAMEORIGIN"生成標頭。 默認為 false

有關詳細信息,請參閱CookieAuthenticationOptions。

在我們的CMS系統中的Ajax請求就是使用的自定義HeaderName的方式進行驗證的,不知道大家有沒有註意到!

需要防偽驗證

ValidateAntiForgeryToken實質上是一個過濾器,可應用到單個操作,控制器或全局範圍內。除了具有IgnoreAntiforgeryToken屬性的操作,否則所有應用了這個屬性的Action都會進行防偽驗證。如下所示:

C#復制

[HttpPost]
[ValidateAntiForgeryToken]
public async Task<IActionResult> RemoveLogin(RemoveLoginViewModel account)
{
    ManageMessageId? message = ManageMessageId.Error;
    var user = await GetCurrentUserAsync();

    if (user != null)
    {
        var result = 
            await _userManager.RemoveLoginAsync(
                user, account.LoginProvider, account.ProviderKey);

        if (result.Succeeded)
        {
            await _signInManager.SignInAsync(user, isPersistent: false);
            message = ManageMessageId.RemoveLoginSuccess;
        }
    }

    return RedirectToAction(nameof(ManageLogins), new { Message = message });
}

ValidateAntiForgeryToken屬性所修飾的操作方法包括 HTTP GET 都需要一個Token進行驗證。 如果ValidateAntiForgeryToken特性應用於應用程序的控制器上,則可以應用IgnoreAntiforgeryToken來對它進行重載以便忽略此驗證過程。

備註:ASP.NET Core 不支持自動將 antiforgery 令牌應用到GET 請求上。

ASP.NET Core MVC在Ajax中處理跨站請求偽造(XSRF/CSRF)的註意事項

ValidateAntiForgeryToken 在進行Token驗證的時候Token是從Form裏面取的。但是ajax中,Form裏面並沒有東西。那token怎麽辦呢?這時候我們可以把Token放在Header裏面。相信看了我的源碼的童鞋一定對這些不會陌生!
如下代碼所示:

$.ajax({
            type: 'POST',
            url: '/ManagerRole/AddOrModify/',
            data: {
                Id: $("#Id").val(),  //主鍵
                RoleName: $(".RoleName").val(),  //角色名稱
                RoleType: $(".RoleType").val(),  //角色類型
                IsSystem: $("input[name='IsSystem']:checked").val() === "0" ? false : true,  //是否系統默認
                Remark: $(".Remark").val()  //用戶簡介
            },
            dataType: "json",
            headers: {
                "X-CSRF-TOKEN-yilezhu": $("input[name='AntiforgeryKey_yilezhu']").val()
            },
            success: function (res) {//res為相應體,function為回調函數
                if (res.ResultCode === 0) {
                    var alertIndex = layer.alert(res.ResultMsg, { icon: 1 }, function () {
                        layer.closeAll("iframe");
                        //刷新父頁面
                        parent.location.reload();
                        top.layer.close(alertIndex);
                    });
                    //$("#res").click();//調用重置按鈕將表單數據清空
                } else if (res.ResultCode === 102) {
                    layer.alert(res.ResultMsg, { icon: 5 }, function () {
                        layer.closeAll("iframe");
                        //刷新父頁面
                        parent.location.reload();
                        top.layer.close(alertIndex);
                    });
                }
                else {
                    layer.alert(res.ResultMsg, { icon: 5 });
                }
            },
            error: function (XMLHttpRequest, textStatus, errorThrown) {
                layer.alert('操作失敗!!!' + XMLHttpRequest.status + "|" + XMLHttpRequest.readyState + "|" + textStatus, { icon: 5 });
            }
        });

如上代碼所示我是先獲取Token代碼然後把這些代碼放到ajax請求的Head裏面再進行post請求即可!

開源地址

這個系列教程的源碼我會開放在GitHub以及碼雲上,有興趣的朋友可以下載查看!覺得不錯的歡迎Star

GitHub:https://github.com/yilezhu/Czar.Cms

碼雲:https://gitee.com/yilezhu/Czar.Cms

如果你覺得這個系列對您有所幫助的話,歡迎以各種方式進行贊助,當然給個Star支持下也是可以滴!另外一種最簡單粗暴的方式就是下面這種直接關註我們的公眾號了: 技術分享圖片

總結

今天我先從跨站點請求偽造的概念以及原理入手,然後給大家講解了如何進行跨站點請求偽造的處理,後面引出了在ASP.NET Core中如何對其進行處理的!同時給大家說了在Ajax處理中的註意事項,希望能對大夥有所幫助!另外如果你有不同的看法歡迎留言,或者加入NET Core千人群637326624討論。

.NET Core實戰項目之CMS 第十四章 開發篇-防止跨站請求偽造(XSRF/CSRF)攻擊處理