读书笔记——威胁:跨站请求伪造

最新推荐文章于 2024-12-23 15:54:11 发布
最新推荐文章于 2024-12-23 15:54:11 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ASP.NET
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kdf123/article/details/14455527
本文介绍了三种有效防御CSRF攻击的方法:令牌验证、幂等GET请求和HTTP Referrer验证。通过使用ASP.NET MVC框架的AntiForgeryToken辅助方法、限制仅通过POST请求修改数据库或网站内容以及验证请求是否来自同一站点,可以显著提高系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

跨站请求伪造(Cross-Site Request Forgery,CSRF,但也用缩写XSRF表示),CSRF比简单的跨站脚本攻击更具危险性。

阻止CSRF攻击

1)、令牌验证

可采用ASP.NET MVC 框架自带的方法:

<form action="/account/register"  method="post">

@Html.AntiForgeryToken()

...

</form>

Html.AntiForgeryToken辅助方法会输出一个加密值作为隐藏的输入元素:

<input type="hidden" value="012837udby32098jhjhjhdj">

隐藏值作为cookie存于浏览器,会话时进行验证

[ValidateAntiforgeryToken]

public ActionResult Register(...)

 

2)、幂等的GET请求

一般仅通过POST请求修改数据库或网站上的内容,就可以有效防止全部CSRF攻击。

 

3)、HttpRefferer验证

public class IsPostedFromThisSiteAttribute:AuthorizeAttribute
        {
            public override void OnAuthorize(AuthorizationContext filterContext)
            {
                if (filterContext.HttpContext!=null)
                {
                    if (filterContext.HttpContext.Request.UrlReferrer==null)
                    {
                        throw new System.Web.HttpException("Invalid submission");
                    }

                    if (filterContext.HttpContext.Request.UrlReferrer.Host!="mysite.com")
                    {
                        throw new System.Web.HttpException("This form wasn't submitted from this site!");
                    }
                }
            }
        }

        //在Register方法上添加过滤器
        [IsPostedFromThisSite]
        public ActionResult Register(...)


 

 

 

 

HttpContext.Current.Request.UrlReferrer说明
66
04-28 3965
The situations where this ServerVariable works include the following methods of a browser loading a URL: clicking on a straight HTML link; submitting a form, using POST or GET, from a submit bu
注意安全(2)!XSRF跨站伪造请求
hyx0720的博客
11-26 2910
上一篇我们说了用脚本注入去攻击小熊哥的博文评论。普通的脚本注入很容易就被前端后台全方位的脚本过滤给处理掉,完全没有杀伤力。一般来说遇到<, > , =” 等等可能加载执行脚本的用户输入,转换为&lt ; & gt ; 等等即可作为数据打印到 DOM 中,而不是作为脚本执行。 这篇文章我们讨论xsrf 跨站伪造请求的原理和防御
Request.UrlReferrer与Request.Url中的属性的使用
学者-微风
08-21 1482
1、由WebForm1.aspx 页面 点击跳转到WebForm2.aspx页面 Request.UrlReferrer(Self) 当前页面:值为null {http://localhost:3961/WebForm1.aspx} AbsolutePath: "/WebForm1.aspx" AbsoluteUri: "http://localhost:3961/WebForm1.aspx" Authority: "localhost:3961" DnsSafeHost:
【ASP.net】内置对象之Request、Response
Alice
02-28 579
Request与Response request对象是从客户端向服务器发出请求(请求获取传递参数),包括用户提交的信息以及客户端的一些信息。 Response对象用于动态响应客户端请示,控制发送给用户的信息,并将动态生成响应。 Request常用方法 1. request.form与requst.querystring request.form 可以获取以post方式提交的数据 requst...
HttpContext.Current.Request.Url、RawUrl、UrlReferrer区别
最新发布
lied1663634806的博客
12-23 450
‌:这个属性返回当前页面的前一页面的URL。如果当前页面是通过浏览器的前进或后退按钮访问的,这个属性会返回上一页面的URL‌。‌:当你需要确定用户是从哪个页面导航到当前页面的,例如在分析用户行为或进行页面跳转验证时。‌:当你需要获取不带域名的完整路径和查询参数时使用,例如在处理表单提交或生成动态链接时。‌:这个属性返回当前请求的完整URL,包括协议、域名、站点名、文件名和参数。‌:这个属性返回当前请求的路径和查询字符串,但不包括域名。‌:当你需要获取完整的请求URL时使用,例如在日志记录或调试时。
秋招复习笔记——八股文部分:网络IP
xhj12138的博客
08-06 1157
网络八股文的最后一部分,主要是 IP 协议的相关八股文内容
秋招复习笔记——八股文部分:网络TCP
xhj12138的博客
07-24 1593
八股文学习,网络部分的TCP部分,内容比较多需要经常看看
《计算机网络——自顶向下方法》学习笔记——网络层:控制平面
weixin_45243288的博客
12-16 3455
计算机网络——网络层:控制平面网络层:控制平面概述路由选择算法链路状态路由选择算法距离向量路由选择算法因特网中的自治系统内部的路由选择:OSPFISP之间的路由选择:BGPBGP的作用通告BGP路由信息确定最好的路由IP任播路由选择策略拼装在一起:在因特网中呈现SDN 控制平面SDN 控制平面:SDN 控制器和SDN 网络控制应用程序OpenFlow 协议数据平面和控制平面交互的例子SDN 的过去与未来ICMP: 因特网控制报文协议网络管理和 SNMP网络管理框架简单网络管理协议 网络层:控制平面 控制平面
渗透测试笔记——收集于网络
08-05
这部分内容涵盖了多种攻击技术的利用方法,例如使用不同的协议(如gopher、dict)执行命令、写入shell、利用数据库漏洞(如MongoDB、PostgresSQL、MSSQL等)、利用图片处理函数攻击、SSRF(服务器端请求伪造)和SQL...
Request.UrlReferrer使用详解
10-27
Request.UrlReferrer可以获取客户端上次请求的url的有关信息,接下来为大家详细介绍下Request.UrlReferrer使用方法,感兴趣的朋友可以参考下哈,希望对你有所帮助
跨站请求伪造 (CSRF):影响、示例和预防
简介
01-12 961
跨站请求伪造 (CSRF/XSRF),是一个 Web 安全漏洞,可诱使 Web 浏览器执行不需要的操作。因此,攻击者滥用 Web 应用程序对受害者浏览器的信任。它允许攻击者部分绕过同源策略,该策略旨在防止不同的网站相互干扰。CSRF 令牌是由服务器端应用程序生成的唯一、不可预测的密钥值,并发送到客户端以包含在客户端发出的后续 HTTP 请求中。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。
Request.UrlReferrer,Request.Url获取数据
极客神殿
04-08 6948
由WebForm1.aspx 页面 点击跳转到WebForm2.aspx页面 Request.UrlReferrer(Self) 当前页面:值为null {http://localhost:3961/WebForm1.aspx} AbsolutePath: "/WebForm1.aspx" AbsoluteUri: "http://localhost:3961/WebForm1
reques ajax referer,Request.UrlReferrer注意点
weixin_39878549的博客
08-06 439
定义:public sealed class HttpRequest{//// 摘要:// 获取有关客户端上次请求的 URL 的信息,该请求链接到当前的 URL。//// 返回结果:// 一个 System.Uri 对象。//// 异常:// System.UriFormatException:// HTTP Referer 请求标头格式不正确,并且不能被转换为 Sys...
Action Filter 与 内置的Filter实现(实例-防盗链)
weixin_30314793的博客
02-09 81
首先继承自FilterAttribute类同时实现IActionFilter接口,代码如下: /**//// <summary> /// 防盗链Filter. /// </summary> public class AntiOutSiteLinkAttribute : ActionFilterAttribute, IActionFil...
ASP.NET MVC 入门10、Action Filter 与 内置的Filter实现(实例-防盗链)
sinolover的专栏
03-03 317
本系列文章基于ASP.NET MVC Preview5. 前一篇中我们已经了解了Action Filter 与 内置的Filter实现,现在我们就来写一个实例。就写一个防盗链的Filter吧。 首先继承自FilterAttribute类同时实现IActionFilter接口,代码如下: ///<summary>///防盗链Filter.///</summary&g...
asp.net mvc中在Filter中跳转千万不要使用Response.Redirect
热门推荐
LeeWhoee University
10-25 1万+
如果在Filter中用Response.Redirect,虽然URL是跳转了,但是之后的Filter和Action还是会执行,不仅浪费资源,还会产生一些不必要的错误,或许,这些错误仅在你的错误日志中能看到。
Rquest对象 【获取浏览器,系统等信息】
Fanbin168的专栏
02-13 2304
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; public partial class Request对象_Request对象 : System.Web.UI.Pag
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值