针对 CSRF 漏洞的防范 [c#,html,webform,mvc,,app api]

最新推荐文章于 2022-03-26 01:23:37 发布
原创 最新推荐文章于 2022-03-26 01:23:37 发布 · 7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分享了针对CSRF漏洞的防范措施,包括WebForm、MVC、HTML页面和App接口的安全策略。对于WebForm,引入了Idunno.AntiCsrf.dll库并配置web.config。在MVC中,利用AntiForgeryToken进行Token验证,但需注意微软默认实现的局限性。对于HTML,提出了结合Cookie和隐藏域的双验证机制。最后,针对App接口,建议在用户登录后返回Secret Key,每次请求前进行安全认证并更新服务器端Session。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近帮别人“擦屁股”,做了全局CSRF漏洞修复,针对各种表单,作如下分享(html 为通用方法):


#############################

1.webform

这种情况只需加载一个DLL(Idunno.AntiCsrf.dll),配置web.config即可。

<?xml version="1.0"?>
<configuration>
 <configSections>
   <section name="csrfSettings"  type="Idunno.AntiCsrf.Configuration.CsrfSettings, Idunno.AntiCsrf" />   
 </configSections>
 <csrfSettings cookieName="__CSRFCOOKIE" formFieldName="form1" detectionResult="RaiseException" errorPage="" /> 
  <system.web>
//iis6
	<httpModules>
		<add name="AntiCSRF" type="Idunno.AntiCsrf.AntiCsrfModule, Idunno.AntiCsrf"/>
	</httpModules>
  //iis7
  <modules>
  <add name="AntiCSRF" type="Idunno.AntiCsrf.AntiCsrfModule, Idunno.AntiCsrf"/></modules>
  </system.web>
</configuration>
</xml>
另外一种方法,自己看链接去: http://www.cnblogs.com/luminji/archive/2012/06/08/2511384.html

#############################

2.mvc

基本思路是利用Token解决,这里只提供思路

前台页面(cshtml):@Html.AntiForgeryToken()

后台(Controllers):[ValidateAntiForgeryToken]

(详细看别人的链接去:http://my.oschina.net/wzzz/blog/118712 )

按照这个微软提供的Token并不能解决问题,发现每次如果抓报文后,依然可以进行二次请求。因Token的验证机制是页面生成时,临时生成一个隐藏域及value值,和一个cookie,提交表单后根据(Request.Form["__RequestVerificationToken"]及cookie值进行计算对比),然而每次请求后微软自带Token未销毁,或者说,仅针对客户端参数做了验证。

最低0.47元/天 解锁文章

200万优质内容无限畅学
C#漏洞防御指南:5大绝招+实战代码,让黑客哭晕在厕所!
java专栏
05-19 2270
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀。
asp.netWebForm(.netFramework) CSRF漏洞
最新发布
qq_43893277的博客
07-09 762
CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的 Web 应用程序安全漏洞,攻击者通过诱使已认证用户在受信任的网站上执行恶意操作,从而利用用户的身份执行未经授权的操作。攻击者通常会在第三方网站上植入恶意代码或链接,当用户访问这些网站时,恶意请求会被发送到目标网站,利用用户的身份执行操作,如更改密码、转账等。CSRF 漏洞可能导致以下安全问题:未经授权的操作:攻击者可以利用 CSRF 漏洞执行未经授权的操作,如更改用户密码、删除账户等。
保护ASP.NET应用免受CSRF攻击
12-22
CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也
CSRF攻击与防御(写得非常好)
热门推荐
freeking101的博客
01-28 2万+
  From:https://www.daguanren.cc/post/csrf-introduction.html From:https://blog.csdn.net/stpeace/article/details/53512283 CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf WEB三大攻...
MVC Html.AntiForgeryToken() 防止CSRF攻击
u011927449的博客
07-28 337
转载博客:http://blog.csdn.net/cpytiger/article/details/8781457 (一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF
常见漏洞CSRF
m0_52923241的博客
04-03 268
漏洞简介 跨站请求伪造:是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。简单来说,就是攻击者盗用一个身份,利用这个身份发送恶意代码。 这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的
C#-.NET MVC机试题目(十多套)
12-19
C#.NET MVC的结合中,开发者可以利用C#的强大功能来编写控制器和模型,同时使用ASP.NET MVC框架提供的各种辅助工具和视图引擎(如Razor)来创建动态HTML页面。这使得开发人员能够更专注于业务逻辑,而不是底层的...
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
C# 关于爬取网站数据遇到csrf-token的分析与解决
weixin_30950607的博客
05-15 232
需求 某航空公司物流单信息查询,是一个post请求。通过后台模拟POST HTTP请求发现无法获取页面数据,通过查看航空公司网站后,发现网站使用避免CSRF攻击机制,直接发挥40X错误。 关于CSRF 读者自行百度 网站HTTP请求分析 Headers Form Data 在head里包含了cookie 与 x-csrf-token formdata 里包含了_csrf ...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
C#编码规范
10-25
C#编码规范的文档,要价值
anti-csrf:功能齐全的反CSRF
04-29
CSRF库 动机 没有好的会话驱动的CSRF预防库。 好的,我们的意思是: 可以将CSRF令牌限制为以下任意一项或全部: 一个特定的会议 特定的HTTP URI 特定的IP地址(可选) 可以存储多个CSRF令牌 CSRF令牌在使用一次后失效 会话数据中存储的令牌数量上限在我们的实现中,最早的被删除 警告-请勿在所有$_SESSION数据都存储在客户端的cookie中的任何项目中使用。 这将快速运行HTTP cookie的最大4KB存储空间。 在任何项目中使用 请参阅autoload.php以获取SPL自动加载器。 与Twig模板一起使用 首先,添加一个像这样的过滤器: use \ ParagonIE \ AntiCSRF \ AntiCSRF ; $ twigEnv -> addFunction ( new \ Twig_SimpleFunction (
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
C# AntiForgeryToken防XSRF漏洞攻击
一切皆有联系
08-08 9608
XSRF:跨站请求伪造 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie中。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123
axios发送请求,后端报错:所需的防伪表单字段“__RequestVerificationToken”不存在
高彬的专栏
04-23 2417
后端使用.net mvc开发,前端使用axios发送post请求遇到错误:所需的防伪表单字段“__RequestVerificationToken”不存在。 看到此提示我们知道原因是:MVC的跨站攻击(CSRF)安全机制获取不到__RequestVerificationToken。但是不知道axios如何传参才能拿后端的安全机制获取到,百度各种搜索半天后扔未果,后来想办法 google,秒获答案 (谷歌真不是吹的,牛!!),虽然不是正面解决,但解决方案依然很满意 、很优秀,解决方法如下: 1、新建一个过
CSRF 漏洞
Just a Blog
03-26 1019
CSRF 漏洞
CSRF
jpygx123的博客
10-10 424
同源策略: A网页设置的Cookie,B网页不能打开,除非这个两个网页同源。 三个相同:协议相同、域名相同、端口相同。 三个一块相同才是同源的。 目的:为了保证用户信息的安全,防止恶意的网站窃取数据。 限制范围: 1.cookie、localstorage和indexDB无法读取。 2.Dom无法获得。 3.AJAX请求不能发送。 虽然限制很必要但是有些合理的用途也会受到影响,比如同站点下的不同域...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值