通過(guò) ASP.NET Core，開(kāi)發(fā)者可輕松配置和管理其應(yīng)用的安全性。 ASP.NET Core 中包含管理身份驗(yàn)證、授權(quán)、數(shù)據(jù)保護(hù)、SSL 強(qiáng)制、應(yīng)用機(jī)密、請(qǐng)求防偽保護(hù)及 CORS 管理等等安全方面的處理。 通過(guò)這些安全功能，可以生成安全可靠的 ASP.NET Core 應(yīng)用。而我們這一章就來(lái)說(shuō)道說(shuō)道如何在ASP.NET Core中處理“跨站請(qǐng)求偽造（XSRF/CSRF）攻擊”的，希望對(duì)大家有所幫助！

本文已收錄至《.NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第一章 入門(mén)篇-開(kāi)篇及總體規(guī)劃》
作者：依樂(lè)祝
原文地址：https://www.cnblogs.com/yilezhu/p/10229954.html

寫(xiě)在前面

上篇文章發(fā)出來(lái)后很多人就去GitHub上下載了源碼，然后就來(lái)問(wèn)我說(shuō)為什么登錄功能都沒(méi)有啊？還有很多菜單點(diǎn)著沒(méi)反應(yīng)。這里統(tǒng)一說(shuō)明一下，是因?yàn)槲业拇a是跟著博客的進(jìn)度在逐步完善的，等這個(gè)系列寫(xiě)完的時(shí)候才代表這個(gè)CMS系統(tǒng)的完成！因此，現(xiàn)在這個(gè)CMS系統(tǒng)還是一個(gè)半成品，不過(guò)我會(huì)盡快來(lái)完成的！廢話不多說(shuō)，下面我們先介紹一下跨站請(qǐng)求偽造（XSRF/CSRF）攻擊”的概念，然后再來(lái)說(shuō)到一下ASP.NET Core中是如何進(jìn)行處理的吧！

什么是跨站請(qǐng)求偽造（XSRF/CSRF）

在繼續(xù)之前如果不給你講一下什么是跨站請(qǐng)求偽造（XSRF/CSRF）的話可能你會(huì)很懵逼，我為什么要了解這個(gè)，不處理又有什么問(wèn)題呢？
CSRF（Cross-site request forgery跨站請(qǐng)求偽造，也被稱為“One Click Attack”或者Session Riding，通常縮寫(xiě)為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用。盡管聽(tīng)起來(lái)像跨站腳本（XSS），但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點(diǎn)內(nèi)的信任用戶，而CSRF則通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少）和難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性。
CSRF在 2007 年的時(shí)候曾被列為互聯(lián)網(wǎng) 20 大安全隱患之一。其他安全隱患，比如 SQL 腳本注入，跨站域腳本攻擊等在近年來(lái)已經(jīng)逐漸為眾人熟知，很多網(wǎng)站也都針對(duì)他們進(jìn)行了防御。然而，對(duì)于大多數(shù)人來(lái)說(shuō)，CSRF 卻依然是一個(gè)陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在著 CSRF 漏洞，從而被黑客攻擊而使 Gmail 的用戶造成巨大的損失。

跨站請(qǐng)求偽造（XSRF/CSRF）的場(chǎng)景

這里為了加深大家對(duì)“跨站請(qǐng)求偽造（XSRF/CSRF）”的理解可以看如下所示的圖：

如上圖所示：

用戶瀏覽位于目標(biāo)服務(wù)器 A 的網(wǎng)站。并通過(guò)登錄驗(yàn)證。

獲取到 cookie_session_id，保存到瀏覽器 cookie 中。

在未登出服務(wù)器 A ，并在 session_id 失效前用戶瀏覽位于 hacked server B 上的網(wǎng)站。

server B 網(wǎng)站中的<img src = "http://www.cnblog.com/yilezhu?creditAccount=1001160141&transferAmount=1000">嵌入資源起了作用，迫使用戶訪問(wèn)目標(biāo)服務(wù)器 A

由于用戶未登出服務(wù)器 A 并且 sessionId 未失效，請(qǐng)求通過(guò)驗(yàn)證，非法請(qǐng)求被執(zhí)行。

試想一下如果這個(gè)非法請(qǐng)求是一個(gè)轉(zhuǎn)賬的操作會(huì)有多恐怖！

跨站請(qǐng)求偽造（XSRF/CSRF）怎么處理？

既然跨站請(qǐng)求偽造（XSRF/CSRF）有這么大的危害，那么我們?nèi)绾卧贏SP.NET Core中進(jìn)行處理呢？
其實(shí)說(shuō)白了CSRF能夠成功也是因?yàn)橥粋€(gè)瀏覽器會(huì)共享Cookies，也就是說(shuō)，通過(guò)權(quán)限認(rèn)證和驗(yàn)證是無(wú)法防止CSRF的。那么應(yīng)該怎樣防止CSRF呢？其實(shí)防止CSRF的方法很簡(jiǎn)單，只要確保請(qǐng)求是自己的站點(diǎn)發(fā)出的就可以了。那怎么確保請(qǐng)求是發(fā)自于自己的站點(diǎn)呢？ASP.NET Core中是以Token的形式來(lái)判斷請(qǐng)求。我們需要在我們的頁(yè)面生成一個(gè)Token，發(fā)請(qǐng)求的時(shí)候把Token帶上。處理請(qǐng)求的時(shí)候需要驗(yàn)證Cookies+Token。這樣就可以有效的進(jìn)行驗(yàn)證了！
其實(shí)說(shuō)到這里可能有部分童鞋已經(jīng)想到了，@Html.AntiForgeryToken()?沒(méi)錯(cuò)就是它，在.NET Core中起著防止 跨站請(qǐng)求偽造（XSRF/CSRF）的作用，想必大伙都會(huì)使用！下面我們?cè)僖黄鹂纯碅SP.NET Core的使用方式吧。

ASP.NET Core MVC是如何處理跨站請(qǐng)求偽造（XSRF/CSRF）的？

警告：
ASP.NET Core使用?ASP.NET Core data protection stack?來(lái)實(shí)現(xiàn)防請(qǐng)求偽造。如果在服務(wù)器集群中需配置 ASP.NET Core Data Protection，有關(guān)詳細(xì)信息，請(qǐng)參閱?Configuring data protection。

在ASP.NET Core MVC 2.0或更高版本中，FormTagHelper為HTML表單元素注入防偽造令牌。例如，Razor文件中的以下標(biāo)記將自動(dòng)生成防偽令牌：

? ? ? ?<form method="post">··· ? ? ? ?</form>

類似地，?IHtmlHelper.BeginForm默認(rèn)情況下生成防偽令牌，當(dāng)然窗體的方法不是 GET。（你懂的）

當(dāng)Html表單包含method="post"并且下面條件之一 成立是會(huì)自動(dòng)生成防偽令牌。

• action屬性為空(?action="") 或者

• 未提供action屬性(<form method="post">)。

當(dāng)然您也可以通過(guò)以下方式禁用自動(dòng)生成HTML表單元素的防偽令牌：

• 明確禁止asp-antiforgery，例如

<form method="post" asp-antiforgery="false">...</form>

• 通過(guò)使用標(biāo)簽幫助器! 禁用語(yǔ)法，從標(biāo)簽幫助器轉(zhuǎn)化為表單元素。

<!form method="post">...</!form>

• 在視圖中移除FormTagHelper，您可以在Razor視圖中添加以下指令移除FormTagHelper：

@removeTagHelper Microsoft.AspNetCore.Mvc.TagHelpers.FormTagHelper, Microsoft.AspNetCore.Mvc.TagHelpers

提示：
Razor頁(yè)面會(huì)自動(dòng)受到XSRF/CSRF的保護(hù)。您不必編寫(xiě)任何其他代碼，有關(guān)詳細(xì)信息，請(qǐng)參閱XSRF/CSRF和Razor頁(yè)面。

為抵御 CSRF 攻擊最常用的方法是使用同步器標(biāo)記模式(STP)。 當(dāng)用戶請(qǐng)求的頁(yè)面包含窗體數(shù)據(jù)使用 STP:

服務(wù)器發(fā)送到客戶端的當(dāng)前用戶的標(biāo)識(shí)相關(guān)聯(lián)的令牌。

客戶端返回將令牌發(fā)送到服務(wù)器進(jìn)行驗(yàn)證。

如果服務(wù)器收到與經(jīng)過(guò)身份驗(yàn)證的用戶的標(biāo)識(shí)不匹配的令牌，將拒絕請(qǐng)求。

該令牌唯一且不可預(yù)測(cè)。 該令牌還可用于確保正確序列化的一系列的請(qǐng)求 (例如，確保請(qǐng)求序列的： 第 1 頁(yè)–第 2 頁(yè)–第 3 頁(yè))。所有在ASP.NET Core MVC 和 Razor 頁(yè)模板中的表單都會(huì)生成 antiforgery 令牌。 以下兩個(gè)視圖生成防偽令牌的示例：

CSHTML復(fù)制

顯式添加到防偽令牌<form>而無(wú)需使用標(biāo)記幫助程序與 HTML 幫助程序元素@Html.AntiForgeryToken:

CSHTML復(fù)制

在每個(gè)前面的情況下，ASP.NET Core 添加類似于以下一個(gè)隱藏的表單字段：

CSHTML復(fù)制

ASP.NET Core 包括三個(gè)篩選器來(lái)處理 antiforgery 令牌：

• ValidateAntiForgeryToken

• AutoValidateAntiforgeryToken

• IgnoreAntiforgeryToken

防偽選項(xiàng)

自定義防偽選項(xiàng)中Startup.ConfigureServices:

設(shè)置防偽Cookie屬性使用的屬性CookieBuilder類。

選項(xiàng)描述

Cookie	確定用于創(chuàng)建防偽 cookie 的設(shè)置。
FormFieldName	防偽系統(tǒng)用于呈現(xiàn)防偽令牌在視圖中的隱藏的窗體字段的名稱。
HeaderName	防偽系統(tǒng)使用的標(biāo)頭的名稱。 如果null，系統(tǒng)會(huì)認(rèn)為只有窗體數(shù)據(jù)。
SuppressXFrameOptionsHeader	指定是否禁止顯示生成X-Frame-Options標(biāo)頭。 默認(rèn)情況下，值為"SAMEORIGIN"生成標(biāo)頭。 默認(rèn)為?false。

有關(guān)詳細(xì)信息，請(qǐng)參閱CookieAuthenticationOptions。

在我們的CMS系統(tǒng)中的Ajax請(qǐng)求就是使用的自定義HeaderName的方式進(jìn)行驗(yàn)證的，不知道大家有沒(méi)有注意到！

需要防偽驗(yàn)證

ValidateAntiForgeryToken實(shí)質(zhì)上是一個(gè)過(guò)濾器，可應(yīng)用到單個(gè)操作，控制器或全局范圍內(nèi)。除了具有IgnoreAntiforgeryToken屬性的操作，否則所有應(yīng)用了這個(gè)屬性的Action都會(huì)進(jìn)行防偽驗(yàn)證。如下所示：

ValidateAntiForgeryToken屬性所修飾的操作方法包括 HTTP GET 都需要一個(gè)Token進(jìn)行驗(yàn)證。 如果ValidateAntiForgeryToken特性應(yīng)用于應(yīng)用程序的控制器上，則可以應(yīng)用IgnoreAntiforgeryToken來(lái)對(duì)它進(jìn)行重載以便忽略此驗(yàn)證過(guò)程。

備注:ASP.NET Core 不支持自動(dòng)將 antiforgery 令牌應(yīng)用到GET 請(qǐng)求上。

ASP.NET Core MVC在Ajax中處理跨站請(qǐng)求偽造（XSRF/CSRF）的注意事項(xiàng)

ValidateAntiForgeryToken?在進(jìn)行Token驗(yàn)證的時(shí)候Token是從Form里面取的。但是ajax中，Form里面并沒(méi)有東西。那token怎么辦呢？這時(shí)候我們可以把Token放在Header里面。相信看了我的源碼的童鞋一定對(duì)這些不會(huì)陌生！
如下代碼所示：

如上代碼所示我是先獲取Token代碼然后把這些代碼放到ajax請(qǐng)求的Head里面再進(jìn)行post請(qǐng)求即可！

開(kāi)源地址

這個(gè)系列教程的源碼我會(huì)開(kāi)放在GitHub以及碼云上，有興趣的朋友可以下載查看！覺(jué)得不錯(cuò)的歡迎Star

GitHub：https://github.com/yilezhu/Czar.Cms

碼云：https://gitee.com/yilezhu/Czar.Cms

如果你覺(jué)得這個(gè)系列對(duì)您有所幫助的話，歡迎以各種方式進(jìn)行贊助，當(dāng)然給個(gè)Star支持下也是可以滴！另外一種最簡(jiǎn)單粗暴的方式就是下面這種直接關(guān)注我們的公眾號(hào)了：?

總結(jié)

今天我先從跨站點(diǎn)請(qǐng)求偽造的概念以及原理入手，然后給大家講解了如何進(jìn)行跨站點(diǎn)請(qǐng)求偽造的處理，后面引出了在ASP.NET Core中如何對(duì)其進(jìn)行處理的！同時(shí)給大家說(shuō)了在Ajax處理中的注意事項(xiàng)，希望能對(duì)大伙有所幫助！另外如果你有不同的看法歡迎留言，或者加入NET Core千人群637326624討論。

相關(guān)文章：

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第一章 入門(mén)篇-開(kāi)篇及總體規(guī)劃

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第二章 入門(mén)篇-快速入門(mén)ASP.NET Core看這篇就夠了

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第三章 入門(mén)篇-源碼解析配置文件及依賴注入

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第四章 入門(mén)篇-Git的快速入門(mén)及實(shí)戰(zhàn)演練

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第五章 入門(mén)篇-Dapper的快速入門(mén)看這篇就夠了

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第六章 入門(mén)篇-Vue的快速入門(mén)及其使用

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第七章 設(shè)計(jì)篇-用戶權(quán)限極簡(jiǎn)設(shè)計(jì)全過(guò)程

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第八章 設(shè)計(jì)篇-內(nèi)容管理極簡(jiǎn)設(shè)計(jì)全過(guò)程

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第九章 設(shè)計(jì)篇-白話架構(gòu)設(shè)計(jì)

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第十章 設(shè)計(jì)篇-系統(tǒng)開(kāi)發(fā)框架設(shè)計(jì)

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第十一章 開(kāi)發(fā)篇-數(shù)據(jù)庫(kù)生成及實(shí)體代碼生成器開(kāi)發(fā)

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第十二章 開(kāi)發(fā)篇-Dapper封裝GURD及倉(cāng)儲(chǔ)代碼生成器實(shí)現(xiàn)

• .NET Core實(shí)戰(zhàn)項(xiàng)目之CMS 第十三章 開(kāi)發(fā)篇-在MVC項(xiàng)目結(jié)構(gòu)介紹及應(yīng)用第三方UI
  

原文地址:https://www.cnblogs.com/yilezhu/p/10229954.html

---

.NET社區(qū)新聞，深度好文，歡迎訪問(wèn)公眾號(hào)文章匯總 http://www.csharpkit.com

總結(jié)

以上是生活随笔為你收集整理的.NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造（XSRF/CSRF）攻击处理...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。