2. 程式人生 > >什麼是CSRF攻擊,如何在ASP.NET MVC網站中阻止這種攻擊?

什麼是CSRF攻擊,如何在ASP.NET MVC網站中阻止這種攻擊?

阿新 發佈:2019-02-17
1   什麼是CSRF,如何防治? Cross-site request forgery 1.1 例子 假如一家銀行用以執行轉賬操作的URL地址如下: http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName 那麼,一個惡意攻擊者可以在另一個網站上放置如下程式碼: <img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman"> 如果有賬戶名為Alice的使用者訪問了惡意站點,而她之前剛訪問過銀行不久,登入資訊尚未過期,那麼她就會損失1000資金。 這種惡意的網址可以有很多種形式,藏身於網頁中的許多地方。此外,攻擊者也不需要控制放置惡意網址的網站。例如他可以將這種地址藏在論壇,部落格等任何使用者生成內容的網站中。這意味著如果伺服器端沒有合適的防禦措施的話,使用者即使訪問熟悉的可信網站也有受攻擊的危險。 透過例子能夠看出,攻擊者並不能通過CSRF攻擊來直接獲取使用者的賬戶控制權,也不能直接竊取使用者的任何資訊。他們能做到的,是欺騙使用者瀏覽器,讓其以使用者的名義執行操作。 1.2 防禦措施
1.2.1 檢查Referer欄位 HTTP頭中有一個Referer欄位,這個欄位用以標明請求來源於哪個地址。在處理敏感資料請求時,通常來說,Referer欄位應和請求的地址位於同一域名下。以上文銀行操作為例,Referer欄位地址通常應該是轉賬按鈕所在的網頁地址,應該也位於www.examplebank.com之下。而如果是CSRF攻擊傳來的請求,Referer欄位會是包含惡意網址的地址,不會位於www.examplebank.com之下,這時候伺服器就能識別出惡意的訪問。 這種辦法簡單易行,工作量低,僅需要在關鍵訪問處增加一步校驗。但這種辦法也有其侷限性,因其完全依賴瀏覽器傳送正確的Referer欄位。雖然http協議對此欄位的內容有明確的規定,但並無法保證來訪的瀏覽器的具體實現,亦無法保證瀏覽器沒有安全漏洞影響到此欄位。並且也存在攻擊者攻擊某些瀏覽器,篡改其Referer欄位的可能。 1.2.2 新增校驗token
由於CSRF的本質在於攻擊者欺騙使用者去訪問自己設定的地址,所以如果要求在訪問敏感資料請求時,要求使用者瀏覽器提供不儲存在cookie中,並且攻擊者無法偽造的資料作為校驗,那麼攻擊者就無法再執行CSRF攻擊。這種資料通常是表單中的一個數據項。伺服器將其生成並附加在表單中,其內容是一個偽亂數。當客戶端通過表單提交請求時,這個偽亂數也一併提交上去以供校驗。正常的訪問時,客戶端瀏覽器能夠正確得到並傳回這個偽亂數,而通過CSRF傳來的欺騙性攻擊中,攻擊者無從事先得知這個偽亂數的值,伺服器端就會因為校驗token的值為空或者錯誤,拒絕這個可疑請求。 1.3 攻擊細節 簡單的身份驗證只能保證請求發自某個使用者的瀏覽器,卻不能保證請求本身是使用者自願發出的。
1.4 ASP.NET MVC 中解決方案 思路如下: Anti-Forgery Token主要使用post方法來驗證post資料的資料來源。  在這個方法中,對於每個頁面請求,web伺服器首先發送一個cookie到客戶端瀏覽器。 當下一個request到來時,使用cookie來驗證客戶端的 authentication。 如果request來自未授權的站點。cookie會是null或者無效的; 解決方案:Controller上面,加上 [ValidateAntiForgeryToken];  View中加上 @Html.AntiForgeryToken(),就能解決問題; 範例程式碼 Controller [__strong__][ValidateAntiForgeryToken] public class UserController : Controller     {         public ActionResult DeleteUser()         {             var userId = (int)Session["userId"];             DeleteUserFromDb(userId);//Function for deleting the user from Database             return View();          }     } View @using (Html.BeginForm("DeleteUser", "User")) {     @Html.AntiForgeryToken()     <input type="submit" value="Delete My Account" /> }

相關推薦

什麼是CSRF攻擊如何在ASP.NET MVC網站阻止這種攻擊

1   什麼是CSRF,如何防治? Cross-site request forgery 1.1 例子 假如一家銀行用以執行轉賬操作的URL地址如下: http://www.examplebank.com/withdraw?account=AccoutName&

針對Linux ASP.NET MVC網站 httpHandlers配置無效的解決方案

近期有Linux ASP.NET使用者反映,在MVC網站的Web.config中新增 httpHandlers 配置用於處理自定義型別,但是在執行中並沒有產生預期的效果,伺服器返回了404(找不到網頁)錯誤。經我親自測試,在WebForm網站中,httpHandlers節點的配置是有效的,而在MVC中的確無效

ASP.NET MVC網站 return RedirectToAction()形式引數的傳遞與接收

cs: return RedirectToAction("Business", "Home", new { currentUsername = username}); 前臺cshtml中: <

asp.net mvc 註冊的郵箱激活功能實現

名稱 work 點擊 rom urn 內容 string 電子郵件 amp 基本流程圖 註冊頁面就不再寫出,現在將發送郵件的代碼粘貼出來 public ActionResult SendEmial() { int

[ASP.NET MVC] Controlle的Aciton方法數據接收方式

http student request str 自動 asp.net nco cti mvc POST數據接收方式包括: 1.request.Form:(逐個獲取表單提交的數據); FormCollection: [HttpPost]public async T

Asp.Net 跨域Asp.Net MVC 跨域Session共享

.config jquer methods setup -a oss asp ont config 比如 http://www.test.com 和 http://m.test.com 簡單粗暴的方法 Web.Config <system.web>

Learun快速開發平臺asp.net+mvc強大後臺技術給開發一個加速度

前端 asp.net+mvc 快速開發平臺 快速發框架 Learun快速開發平臺,asp.net+mvc強大後臺技術,給開發一個加速度 公司業務量比較大,接了很多項目,為了縮短開發周期老板讓我牽頭搭建了一個快速開發平臺。 我們主要的業務是做OA、CRM、ERP一類的管理系統,一個通

使用ASP.NET MVC Futures 的非同步Action

之前看過老趙這兩篇文章。也研究了一下老趙非同步的實現方式。 不過感覺自己擴充套件的話,在ASP.NET MVC中使用非同步還真是麻煩,剛好看到從RC1版開始 ASP.NET MVC Futures中提供了幾個支援非同步的類。 相關的類包括AsyncActionDescriptor、AsyncContr

Asp.net Mvc Pv4使用AjaxHelper

這個有點類似於UpdatePanel,首先要引用2個js一個是Microsoft Ajax Lib,一個是Mvc的Ajax新類 CODE: <script src="/Content/MicrosoftAjax.js" type="text/javascript"

ASP.NET MVC 模型 選擇最好的方法將多個model(資料模型)傳遞到檢視

無論你什麼時候需要保持一些資訊直到一個接著的後來的請求,使用TempData都是很好的方法。它應該在你需要保持例如驗證資訊,錯誤資訊,或者一些小的不包含敏感資料資訊的時候使用。因為它能保證會話來傳遞變數,所以你不應該把敏感的資訊存放在TempData。 (adsbygoogle =

如何在FineUIMvc(ASP.NET MVC顯示覆雜的表格列資料(列表和物件)?

起源 最初,這個問題是知識星球內的一個網友提出的,如何在FineUIMvc中展現複雜的列資料? 在FineUIPro中,我們都知道有一個 TemplateField 模板列可以使用,我們只需要在後臺定義一個 C# 方法,就可以返回任意想要的資料。 可是在FineUIMvc中沒有這麼個列型別,那又

FineUIPro/Mvc/Core/JS v4.2.0 釋出了(老牌ASP.NET控制元件庫WebFormsASP.NET MVCCoreJavaScript)!

還記得 10 年前那個稍微青澀的 ExtAspNet 嗎,如今她已脫胎換骨,變成了如下 4 款產品: FineUIPro:基於jQuery的經典款ASP.NET WebForms控制元件,之前的FineUI(開源版)可以直接升級到此版本。 FineUIMvc:支援ASP.NET MVC5。 Fine

Asp.Net MVC控制器Action的返回值型別

控制器中Action的返回值型別有很多,最常見的是ActionResult,通過檢視原始碼可以發現ActionResult是一個抽象類,它有很多的子類。如果Action的返回值型別為ActionResult,那麼可以返回任意子類物件;如果Action的返回值型別

Asp.net mvc 網站之速度優化 -- 頁面快取

網站速度優化的一般方法 由於網站最重要的使用者體驗就是速度,特別是對於電子商務網站而言。 一般網站速度優化會涉及到幾個方面: 1. 資料庫優化 — 查詢欄位簡歷索引,使用資料庫連線池和持久化,現在還有種趨勢,就是選擇使用No SQL作為補充; 2. 資料快取 — 使用Memc

ASP.NET MVC 4如何為不同的瀏覽器自適應佈局和檢視

在ASP.NET MVC 4中,可以很簡單地實現針對不同的瀏覽器自適應佈局和檢視。這個得歸功於MVC中的"約定甚於配置"的設計理念。 預設的自適應 MVC 4自動地為移動裝置瀏覽器和PC裝置瀏覽器進行自適應。針對佈局頁面,預設的檔名為_Layout.cshtml,這個預設會被所有的瀏覽器使用。但如果我們希望

Visual Studio Community 2017修改ASP.NET MVC專案類名稱空間的一點注意事項

筆者使用Visual Studio Community 2017建立一個ASP.NET MVC 5的專案,系統預設建立了一個HomeController類,此時編譯執行正常。在修改HomeController類的名稱空間名字後,將自動修改全專案的類的名稱空間名,編譯正常,但

如何做一個基於ASP.NET MVC 網站(一)

       開篇,說一下。本人以前也是經常瀏覽很多部落格去檢視學習網站開發的資料。有時,我會想當初為什麼會選擇這個行業?是因為對這份工作充滿著熱情,希望在以後的未來能在這個領域能有自己的快樂。 首先

ASP.NET MVC利用Aspose.cells 將查詢出的數據導出為excel並在瀏覽器下載。

width tdi 新增 column 需求 options 解決 印象 ats 正題前的嘮叨 本人是才出來工作不久的小白菜一顆,技術很一般,總是會有遇到一些很簡單的問題卻不知道怎麽做,這些問題可能是之前解決過的。發現這個問題,想著提升一下自己的技術水平,將一些學的新的‘好

ASP.NET MVCCSRF(跨站腳本)攻擊

轉移 off end gis 帳戶 blank 表單 密碼 message CSRF 一 何為CSRF CSRF(Cross-site request forgery跨站請求偽造,也被稱成為“one click attack”或者session riding,通常縮寫為CS

Asp.net MVC訪問母版頁巢狀的iframe頁面時如果session或cookie過期登入驗證超時怎樣自動跳轉到登入頁

一般登入驗證的過濾器中,使用驗證過濾器的Redirect方法,將請求重定向到指定的URL。但是如果我們要訪問的頁面是一個巢狀在母版頁中的iframe頁面時,這種重定向只會對iframe頁面湊效,也就是會將iframe也重定向到登入頁,這樣就有違我們的目的了。所以我就嘗試了很多方法來實現讓整個頁面重定向到登入頁