http://xiangai.taobao.com
http://shop148612228.taobao.com

Asp.net MVC 如何防止CSRF攻击



什么是CSRF攻击?

CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

详细说明:http://baike.baidu.com/view/1609487.htm

CSRF攻击发生的场景:

       CSRF攻击依赖下面的假定:

  攻击者了解受害者所在的站点

  攻击者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie

  目标站点没有对用户在网站行为的第二授权

Asp.net MVC 内置了对CSRF进行防御的方法如下:

1.在View的Form表间中使用

<%=Html.AntiForgeryToken() %>

例如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<% using (Html.BeginForm("Login", "Admin", FormMethod.Post))
      { %>
       <%=Html.AntiForgeryToken() %>
       <%= Html.ValidationSummary(true, "登录不成功。请更正错误并重试。") %>
   <div>
       <fieldset>
           <legend>帐户信息</legend>           
           <div class="editor-label">
               <%= Html.LabelFor(m => m.UserName) %>
           </div>
           <div class="editor-field">
               <%= Html.TextBoxFor(m => m.UserName)%>
               <%= Html.ValidationMessageFor(m => m.UserName)%>
               <label id="UserNameTip"></label>
           </div>
           <div class="editor-label">
               <%= Html.LabelFor(m => m.Password) %>
           </div>
           <div class="editor-field">
               <%= Html.PasswordFor(m => m.Password) %>
               <%= Html.ValidationMessageFor(m => m.Password) %>
           </div>
           <p>
               <input type="submit" value="登录" />
           </p>
       </fieldset>
   </div>
   <% } %>

2.d在对应的Action中用[ValidateAntiForgeryToken]进行标识:如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Login(Usr usr)
{
    if (ModelState.IsValid)
    {
        var model = DB.Context.Single<Usr>(p => p.SystemUser == true && p.UserName == usr.UserName && p.Password == usr.Password);
        if (model != null)
        {
            authenticate.Login(usr.UserName, usr.Role);
            return RedirectToAction("UserList", "Admin");
        }
        else
        {
            ModelState.AddModelError("", "提供的用户名或密码不正确。");
        }
    }
    return View(usr);
}

 

其实我们发现Asp.net MVC 帮我们做了很多。

原创文字只代表本人某一时间内的观点或结论,本人不对涉及到的任何代码担保。转载请标明出处!

3
0
« 上一篇:Subsonic: Code-First开发模式
» 下一篇:Nginx:一个反向代理的设置
posted @ 2018-04-17 18:31  万事俱备就差个程序员  阅读(502)  评论(0编辑  收藏  举报

http://xiangai.taobao.com
http://shop148612228.taobao.com
如果您觉得对您有帮助.领个红包吧.谢谢.
支付宝红包
微信打赏 支付宝打赏