Fork me on GitHub

asp.net core安全事项(上)

 

 

  • 隐藏web服务端信息

  创建一个asp.net core mcv web项目,运行,F12查看返回信息,如下图,会清晰看到服务端的类型是kestrel.

 

   有时安全检测要求不能显示服务端信息,这样在一定程度上能降低被 攻击的风险,具体代码如下:

public class Program
    {
        public static void Main(string[] args)
        {
            CreateHostBuilder(args).Build().Run();
        }

        public static IHostBuilder CreateHostBuilder(string[] args) =>
            Host.CreateDefaultBuilder(args)
                .ConfigureWebHostDefaults(webBuilder =>
                {
                    webBuilder.ConfigureKestrel(opt =>
                    {
                       //隐藏服务端信息
                        opt.AddServerHeader = false;
                    });
                    webBuilder.UseStartup<Startup>();
                });
    }

  效果如下,kestrel被隐藏起来了。

 

 防止重定向

 [AllowAnonymous]
        [HttpPost("login")]
        public IActionResult Login(string userName,string password,string returnUrl = "/")
        {
            //这里省略n行代码
            return Redirect(returnUrl);
        }

  上面代码中,一般验证用户信息后会跳转到一个站内页面,这个时候会带有returnUrl,这个url如果被篡改成其他站点url,就样就会把我们引导到其他站点提供授权信息,从而泄露自己的登录信息,怎么破?如下:

 [AllowAnonymous]
        [HttpPost("login")]
        public IActionResult Login(string userName, string password, string returnUrl = "/")
        {
            //这里省略n行代码
            //return Redirect(returnUrl);

            return LocalRedirect(returnUrl);
            //or
            if (Url.IsLocalUrl(returnUrl))
            {
                return Redirect(returnUrl);
            }
            else
            {
                return Redirect("/error");
            }
        }

登出,登录次数限制

public async Task<IActionResult> Logout()
 {
      //logout要使登录的cookie失效
      await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
      return RedirectToAction("Index", "Home");
}

  有登录,就要一定要有登出,如果是基于cookie,让客户端cookie清除,如果是jwt,token一定要有过期(或服务端维护状态让其实效)。这样可以有效防止授权信息被别人再利用。

  另一方面要设计一定时间内登录错误次数锁定帐户功能,在一定程度上也能减少被攻破的风险。

  (未完待续)

 

  想要更快更方便的了解相关知识,可以关注微信公众号 
 

 

 

posted @ 2022-02-03 13:28  桂素伟  阅读(52)  评论(0编辑  收藏  举报