自己做的砍价网站,qq浏览器网页版进入,软文推广去哪个平台好,南京代做网站制作通过 ASP.NET Core#xff0c;开发者可轻松配置和管理其应用的安全性。 ASP.NET Core 中包含管理身份验证、授权、数据保护、SSL 强制、应用机密、请求防伪保护及 CORS 管理等等安全方面的处理。 通过这些安全功能#xff0c;可以生成安全可靠的 ASP.NET Core 应用。而我们这… 通过 ASP.NET Core开发者可轻松配置和管理其应用的安全性。 ASP.NET Core 中包含管理身份验证、授权、数据保护、SSL 强制、应用机密、请求防伪保护及 CORS 管理等等安全方面的处理。 通过这些安全功能可以生成安全可靠的 ASP.NET Core 应用。而我们这一章就来说道说道如何在ASP.NET Core中处理“跨站请求伪造XSRF/CSRF攻击”的希望对大家有所帮助本文已收录至《.NET Core实战项目之CMS 第一章 入门篇-开篇及总体规划》作者依乐祝原文地址https://www.cnblogs.com/yilezhu/p/10229954.html写在前面上篇文章发出来后很多人就去GitHub上下载了源码然后就来问我说为什么登录功能都没有啊还有很多菜单点着没反应。这里统一说明一下是因为我的代码是跟着博客的进度在逐步完善的等这个系列写完的时候才代表这个CMS系统的完成因此现在这个CMS系统还是一个半成品不过我会尽快来完成的废话不多说下面我们先介绍一下跨站请求伪造XSRF/CSRF攻击”的概念然后再来说到一下ASP.NET Core中是如何进行处理的吧什么是跨站请求伪造XSRF/CSRF在继续之前如果不给你讲一下什么是跨站请求伪造XSRF/CSRF的话可能你会很懵逼我为什么要了解这个不处理又有什么问题呢CSRFCross-site request forgery跨站请求伪造也被称为“One Click Attack”或者Session Riding通常缩写为CSRF或者XSRF是一种对网站的恶意利用。尽管听起来像跨站脚本XSS但它与XSS非常不同并且攻击方式几乎相左。XSS利用站点内的信任用户而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比CSRF攻击往往不大流行因此对其进行防范的资源也相当稀少和难以防范所以被认为比XSS更具危险性。CSRF在 2007 年的时候曾被列为互联网 20 大安全隐患之一。其他安全隐患比如 SQL 脚本注入跨站域脚本攻击等在近年来已经逐渐为众人熟知很多网站也都针对他们进行了防御。然而对于大多数人来说CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞从而被黑客攻击而使 Gmail 的用户造成巨大的损失。跨站请求伪造XSRF/CSRF的场景这里为了加深大家对“跨站请求伪造XSRF/CSRF”的理解可以看如下所示的图如上图所示用户浏览位于目标服务器 A 的网站。并通过登录验证。获取到 cookie_session_id保存到浏览器 cookie 中。在未登出服务器 A 并在 session_id 失效前用户浏览位于 hacked server B 上的网站。server B 网站中的img src http://www.cnblog.com/yilezhu?creditAccount1001160141transferAmount1000嵌入资源起了作用迫使用户访问目标服务器 A由于用户未登出服务器 A 并且 sessionId 未失效请求通过验证非法请求被执行。试想一下如果这个非法请求是一个转账的操作会有多恐怖跨站请求伪造XSRF/CSRF怎么处理既然跨站请求伪造XSRF/CSRF有这么大的危害那么我们如何在ASP.NET Core中进行处理呢其实说白了CSRF能够成功也是因为同一个浏览器会共享Cookies也就是说通过权限认证和验证是无法防止CSRF的。那么应该怎样防止CSRF呢其实防止CSRF的方法很简单只要确保请求是自己的站点发出的就可以了。那怎么确保请求是发自于自己的站点呢ASP.NET Core中是以Token的形式来判断请求。我们需要在我们的页面生成一个Token发请求的时候把Token带上。处理请求的时候需要验证CookiesToken。这样就可以有效的进行验证了其实说到这里可能有部分童鞋已经想到了Html.AntiForgeryToken() 没错就是它在.NET Core中起着防止 跨站请求伪造XSRF/CSRF的作用想必大伙都会使用下面我们再一起看看ASP.NET Core的使用方式吧。ASP.NET Core MVC是如何处理跨站请求伪造XSRF/CSRF的警告ASP.NET Core使用 ASP.NET Core data protection stack 来实现防请求伪造。如果在服务器集群中需配置 ASP.NET Core Data Protection有关详细信息请参阅 Configuring data protection。在ASP.NET Core MVC 2.0或更高版本中FormTagHelper为HTML表单元素注入防伪造令牌。例如Razor文件中的以下标记将自动生成防伪令牌 form methodpost··· /form类似地 IHtmlHelper.BeginForm默认情况下生成防伪令牌当然窗体的方法不是 GET。你懂的当Html表单包含methodpost并且下面条件之一 成立是会自动生成防伪令牌。action属性为空( action) 或者未提供action属性(form methodpost)。当然您也可以通过以下方式禁用自动生成HTML表单元素的防伪令牌明确禁止asp-antiforgery例如form methodpost asp-antiforgeryfalse.../form通过使用标签帮助器! 禁用语法从标签帮助器转化为表单元素。!form methodpost.../!form在视图中移除FormTagHelper您可以在Razor视图中添加以下指令移除FormTagHelperremoveTagHelper Microsoft.AspNetCore.Mvc.TagHelpers.FormTagHelper, Microsoft.AspNetCore.Mvc.TagHelpers提示Razor页面会自动受到XSRF/CSRF的保护。您不必编写任何其他代码有关详细信息请参阅XSRF/CSRF和Razor页面。为抵御 CSRF 攻击最常用的方法是使用同步器标记模式(STP)。 当用户请求的页面包含窗体数据使用 STP:服务器发送到客户端的当前用户的标识相关联的令牌。客户端返回将令牌发送到服务器进行验证。如果服务器收到与经过身份验证的用户的标识不匹配的令牌将拒绝请求。该令牌唯一且不可预测。 该令牌还可用于确保正确序列化的一系列的请求 (例如确保请求序列的 第 1 页–第 2 页–第 3 页)。所有在ASP.NET Core MVC 和 Razor 页模板中的表单都会生成 antiforgery 令牌。 以下两个视图生成防伪令牌的示例CSHTML复制显式添加到防伪令牌form而无需使用标记帮助程序与 HTML 帮助程序元素Html.AntiForgeryToken:CSHTML复制在每个前面的情况下ASP.NET Core 添加类似于以下一个隐藏的表单字段CSHTML复制ASP.NET Core 包括三个筛选器来处理 antiforgery 令牌ValidateAntiForgeryTokenAutoValidateAntiforgeryTokenIgnoreAntiforgeryToken防伪选项自定义防伪选项中Startup.ConfigureServices:设置防伪Cookie属性使用的属性CookieBuilder类。选项描述Cookie确定用于创建防伪 cookie 的设置。FormFieldName防伪系统用于呈现防伪令牌在视图中的隐藏的窗体字段的名称。HeaderName防伪系统使用的标头的名称。 如果null系统会认为只有窗体数据。SuppressXFrameOptionsHeader指定是否禁止显示生成X-Frame-Options标头。 默认情况下值为SAMEORIGIN生成标头。 默认为 false。有关详细信息请参阅CookieAuthenticationOptions。在我们的CMS系统中的Ajax请求就是使用的自定义HeaderName的方式进行验证的不知道大家有没有注意到需要防伪验证ValidateAntiForgeryToken实质上是一个过滤器可应用到单个操作控制器或全局范围内。除了具有IgnoreAntiforgeryToken属性的操作否则所有应用了这个属性的Action都会进行防伪验证。如下所示ValidateAntiForgeryToken属性所修饰的操作方法包括 HTTP GET 都需要一个Token进行验证。 如果ValidateAntiForgeryToken特性应用于应用程序的控制器上则可以应用IgnoreAntiforgeryToken来对它进行重载以便忽略此验证过程。备注:ASP.NET Core 不支持自动将 antiforgery 令牌应用到GET 请求上。ASP.NET Core MVC在Ajax中处理跨站请求伪造XSRF/CSRF的注意事项ValidateAntiForgeryToken 在进行Token验证的时候Token是从Form里面取的。但是ajax中Form里面并没有东西。那token怎么办呢这时候我们可以把Token放在Header里面。相信看了我的源码的童鞋一定对这些不会陌生如下代码所示如上代码所示我是先获取Token代码然后把这些代码放到ajax请求的Head里面再进行post请求即可开源地址这个系列教程的源码我会开放在GitHub以及码云上有兴趣的朋友可以下载查看觉得不错的欢迎StarGitHubhttps://github.com/yilezhu/Czar.Cms码云https://gitee.com/yilezhu/Czar.Cms如果你觉得这个系列对您有所帮助的话欢迎以各种方式进行赞助当然给个Star支持下也是可以滴另外一种最简单粗暴的方式就是下面这种直接关注我们的公众号了 总结今天我先从跨站点请求伪造的概念以及原理入手然后给大家讲解了如何进行跨站点请求伪造的处理后面引出了在ASP.NET Core中如何对其进行处理的同时给大家说了在Ajax处理中的注意事项希望能对大伙有所帮助另外如果你有不同的看法欢迎留言或者加入NET Core千人群637326624讨论。相关文章.NET Core实战项目之CMS 第一章 入门篇-开篇及总体规划.NET Core实战项目之CMS 第二章 入门篇-快速入门ASP.NET Core看这篇就够了.NET Core实战项目之CMS 第三章 入门篇-源码解析配置文件及依赖注入.NET Core实战项目之CMS 第四章 入门篇-Git的快速入门及实战演练.NET Core实战项目之CMS 第五章 入门篇-Dapper的快速入门看这篇就够了.NET Core实战项目之CMS 第六章 入门篇-Vue的快速入门及其使用.NET Core实战项目之CMS 第七章 设计篇-用户权限极简设计全过程.NET Core实战项目之CMS 第八章 设计篇-内容管理极简设计全过程.NET Core实战项目之CMS 第九章 设计篇-白话架构设计.NET Core实战项目之CMS 第十章 设计篇-系统开发框架设计.NET Core实战项目之CMS 第十一章 开发篇-数据库生成及实体代码生成器开发.NET Core实战项目之CMS 第十二章 开发篇-Dapper封装GURD及仓储代码生成器实现.NET Core实战项目之CMS 第十三章 开发篇-在MVC项目结构介绍及应用第三方UI原文地址:https://www.cnblogs.com/yilezhu/p/10229954.html.NET社区新闻深度好文欢迎访问公众号文章汇总 http://www.csharpkit.com
