Asp.net MVC 如何防止CSRF攻击

最新推荐文章于 2024-01-17 09:35:07 发布
转载 最新推荐文章于 2024-01-17 09:35:07 发布 · 727 阅读 · 0

本文介绍了CSRF(跨站请求伪造)攻击的概念及其发生条件,详细解释了如何利用ASP.NET MVC内置的安全特性来有效防御这类攻击。

什么是CSRF攻击?

CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

详细说明:http://baike.baidu.com/view/1609487.htm

CSRF攻击发生的场景:

       CSRF攻击依赖下面的假定:

  攻击者了解受害者所在的站点

  攻击者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie

  目标站点没有对用户在网站行为的第二授权

Asp.net MVC 内置了对CSRF进行防御的方法如下:

1.在View的Form表间中使用

<%=Html.AntiForgeryToken() %>

例如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<% using  (Html.BeginForm( "Login" , "Admin" , FormMethod.Post))
       { %>
        <%=Html.AntiForgeryToken() %>
        <%= Html.ValidationSummary( true , "登录不成功。请更正错误并重试。" ) %>
    <div>
        <fieldset>
            <legend>帐户信息</legend>           
            <div class = "editor-label" >
                <%= Html.LabelFor(m => m.UserName) %>
            </div>
            <div class = "editor-field" >
                <%= Html.TextBoxFor(m => m.UserName)%>
                <%= Html.ValidationMessageFor(m => m.UserName)%>
                <label id= "UserNameTip" ></label>
            </div>
            <div class = "editor-label" >
                <%= Html.LabelFor(m => m.Password) %>
            </div>
            <div class = "editor-field" >
                <%= Html.PasswordFor(m => m.Password) %>
                <%= Html.ValidationMessageFor(m => m.Password) %>
            </div>
            <p>
                <input type= "submit"  value= "登录"  />
            </p>
        </fieldset>
    </div>
    <% } %>

2.d在对应的Action中用[ValidateAntiForgeryToken]进行标识:如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[HttpPost]
[ValidateAntiForgeryToken]
public  ActionResult Login(Usr usr)
{
     if  (ModelState.IsValid)
     {
         var  model = DB.Context.Single<Usr>(p => p.SystemUser == true  && p.UserName == usr.UserName && p.Password == usr.Password);
         if  (model != null )
         {
             authenticate.Login(usr.UserName, usr.Role);
             return  RedirectToAction( "UserList" , "Admin" );
         }
         else
         {
             ModelState.AddModelError( "" , "提供的用户名或密码不正确。" );
         }
     }
     return  View(usr);
}

 

其实我们发现Asp.net MVC 帮我们做了很多。

asp.netWebForm(.netFramework) CSRF漏洞
qq_43893277的博客
07-09 809
CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的 Web 应用程序安全漏洞,攻击者通过诱使已认证用户在受信任的网站上执行恶意操作,从而利用用户的身份执行未经授权的操作。攻击者通常会在第三方网站上植入恶意代码或链接,当用户访问这些网站时,恶意请求会被发送到目标网站,利用用户的身份执行操作,如更改密码、转账等。CSRF 漏洞可能导致以下安全问题:未经授权的操作:攻击者可以利用 CSRF 漏洞执行未经授权的操作,如更改用户密码、删除账户等。
Asp.net MVC CSRF攻击防御,添加防伪令牌
a616724623的博客
03-27 2090
第一步:页面加上令牌页面加上@Html.AntiForgeryToken(),它会在页面生成一个请求令牌,当然cookie也有一个,不需要管它第二步:请求中带上令牌在请求的数据里面加上这个令牌,可以在from里面直接加上@Html.AntiForgeryToken(),如果是ajax请求,那就在参数里面加上这个题外:        因为我接手的是一个已经做得差不多的项目,不可能去每个ajax里面去...
ASP.NET MVC 防止CSRF攻击
weixin_33739627的博客
09-19 275
简介MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击CSRF可以攻击者盗用了你的身份,以你的名义发...
ASP.NET MVC防止跨站请求攻击(CSRF)
weixin_30505225的博客
08-19 435
转载 http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET MVC 裡為了要防止 CSRF (Cross-Site Request Forgery) 跨站偽造請求的攻擊,我們可以在 View 的表單中加入「@Html.AntiForgeryToken」然後在對...
保护ASP.NET应用免受CSRF攻击
12-22
CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也
ASP.NET MVC防范CSRF最佳实践
anw53724的博客
01-05 256
XSS与CSRF 哈哈,有点标题党,但我保证这篇文章跟别的不太一样。 我认为,网站安全的基础有三块: 防范中间人攻击 防范XSS 防范CSRF 注意,我讲的是基础,如果更高级点的话可以考虑防范机器人刷单,再高级点就防范DDoS攻击,不过我们还是回到“基础”这个话题上吧,对于中间人攻击,使用HTTPS是正确且唯一的做法,其它都是歪门邪道,最好还要购买各个浏览器都承认的S...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
在*** MVC开发中,防范跨站请求伪造(Cross-Site Request ...这些措施能够有效提高Web应用的安全性,防止CSRF攻击者滥用用户发起的请求。*** MVC框架提供的这种防伪令牌机制简单易用,是防御CSRF攻击的首选方法。
ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
05-21
浅谈 ASP.NET MVC 防止跨站请求伪造(CSRF攻击的实现方法 本文档对 ASP.NET MVC防止跨站请求伪造(CSRF攻击的实现方法进行了详细的探讨。首先,文章介绍了 CSRF 攻击的定义和历史,然后通过一个模拟的示例,...
ASP.NET MVC防范CSRF攻击策略详解
ASP.NET MVC框架提供了一套内置机制来防御CSRF攻击。主要的防御措施是在视图(View)中使用`Html.AntiForgeryToken()`生成一个唯一的令牌,并在表单提交时将其包含在内。同时,在控制器(Controller)的方法上添加`...
使用ASP.NET Core、JavaScript和Angular防止CSRF攻击
寒冰屋的专栏
01-28 1013
跨站点请求伪造,也称为CSRF(发音为“See-Surf”)、XSRF、一键攻击和会话骑乘,是一种攻击类型,攻击者强制用户在应用程序中执行不需要的操作,而用户已登录。攻击者诱骗用户代表他们执行操作。此攻击的影响取决于用户拥有的权限级别。例如,在易受攻击的银行网站中,攻击者可以从受害者的账户中转移一定数量的资金或取得整个账户的所有权。
asp.net 网站 防止CSRF攻击 使用 ValidateAntiForgeryToken
LYBWWP
10-21 734
.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   
MVC Html.AntiForgeryToken() 防止CSRF攻击
u011927449的博客
07-28 365
转载博客:http://blog.csdn.net/cpytiger/article/details/8781457 (一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF
asp.net mvc 过滤XSS跨站脚本攻击
冻死的企鹅
08-12 1248
asp.net mvc 过滤跨站点脚本攻击拦截器 using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Text.RegularExpressions; using System.Web; namespace Org.Core.Commons { /// /// http访问拦截器模块 /// 1.过滤危险关键词 /// 2.增加安全Header
ASP.NET MVC CSRF (XSRF) security
weixin_30858241的博客
04-05 189
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此...
ASP.NET Core 防止跨站请求伪造(XSRF/CSRF攻击
weixin_30338497的博客
08-31 796
什么是反伪造攻击? 跨站点请求伪造(也称为XSRF或CSRF,发音为see-surf)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互。这种攻击是完全有可能的,因为Web浏览器会自动在每一个请求中发送某些身份验证令牌到请求网站。这种攻击形式也被称为 一键式攻击 或 会话控制 ,因为攻击利用了用户以前认证的会话。 CSRF攻击的示例: 用户登录 www.e...
.NET MVC中的防CSRF攻击
banyongzhan5405的博客
08-06 290
.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。它跟XSS(XSS又叫CSS:Cross-Site-Script)攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用...
.net mvc全局拦截CSRF跨站点攻击
a506602491的专栏
04-29 439
开发中如果不想每个页面都验证CSRF跨站点攻击,可以按以下方法添加拦截器 1. 添加api请求拦截器 /// <summary> /// Api拦截 /// </summary> public class ApiPermissionFilter : System.Web.Http.Filters.ActionFilterAttribute ...
.Net CSRF 跨站点请求伪造漏洞
最新发布
灵感源于学习的博客
01-17 632
.net CSRF解决方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值