MVC中使用[ValidateAntiForgeryToken]防止CSRF 注入攻击

最新推荐文章于 2024-06-28 17:09:50 发布
最新推荐文章于 2024-06-28 17:09:50 发布
阅读量404 收藏
点赞数
文章标签: 测试 json javascript ViewUI
本文深入讲解了CSRF(跨站请求伪造)攻击的概念及其危害,包括个人隐私泄露和财产安全风险,并提供了具体的防御措施,如使用@Html.AntiForgeryToken()及$.ajaxAntiForgery等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。通俗的理解就是

攻击者盗用了你的身份,以你的名义发送恶意请求。

CSRF能够以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

CSRF的攻击原理请移步http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html说的非常的详细清楚。

防范XSRF的方法:

1、在Html表单里面使用了@Html.AntiForgeryToken()就可以阻止CSRF攻击。

2、相应的我们要在Controller中也要加入[ValidateAntiForgeryToken]过滤特性。该特性表示检测服务器请求是否被篡改。注意:该特性只能用于post请求,get请求无效。

3、至于JS,我们的项目中引用的是<script src="~/Content/js/jqueryToken.js" type="text/JavaScript"></script>

在JS时要使用: $.ajaxAntiForgery才行,
如:
 $.ajaxAntiForgery({
            type: "post",
            data: { GroupName: $("#GroupName").val(), GroupPhones: $("#GroupPhones").val() },
            dataType: "json",
            url: "/Event/Mass/AddGroup",
            success: function (data) {
                if (data) {

                    alert("添加成功 ");
                 
                }
                else {
                    alert("添加失败 ");
                }
         }
 })

注:对数据进行增删改时要防止csrf攻击!

附:jqueryToken的代码

 

复制代码 
(function ($) {
    $.getAntiForgeryToken = function (tokenWindow, appPath) {
        // HtmlHelper.AntiForgeryToken() must be invoked to print the token.
        tokenWindow = tokenWindow && typeof tokenWindow === typeof window ? tokenWindow : window;

        appPath = appPath && typeof appPath === "string" ? "_" + appPath.toString() : "";
        // The name attribute is either __RequestVerificationToken,
        // or __RequestVerificationToken_{appPath}.
        var tokenName = "__RequestVerificationToken" + appPath;
        var inputElements = tokenWindow.document.getElementsByTagName("input");
        for (var i = 0; i < inputElements.length; i++) {
            var inputElement = inputElements[i];
            if (inputElement.type === "hidden" && inputElement.name === tokenName) {
                return {
                    name: tokenName,
                    value: inputElement.value
                };
            }
        }
    };

    $.appendAntiForgeryToken = function (data, token) {
        // Converts data if not already a string.
        if (data && typeof data !== "string") {
            data = $.param(data);
        }

        // Gets token from current window by default.
        token = token ? token : $.getAntiForgeryToken(); // $.getAntiForgeryToken(window).

        data = data ? data + "&" : "";
        // If token exists, appends {token.name}={token.value} to data.
        return token ? data + encodeURIComponent(token.name) + "=" + encodeURIComponent(token.value) : data;
    };

    // Wraps $.post(url, data, callback, type) for most common scenarios.
    $.postAntiForgery = function (url, data, callback, type) {
        return $.post(url, $.appendAntiForgeryToken(data), callback, type);
    };

    // Wraps $.ajax(settings).
    $.ajaxAntiForgery = function (settings) {
        // Supports more options than $.ajax(): 
        // settings.token, settings.tokenWindow, settings.appPath.
        var token = settings.token ? settings.token : $.getAntiForgeryToken(settings.tokenWindow, settings.appPath);
        settings.data = $.appendAntiForgeryToken(settings.data, token);
        return $.ajax(settings);
    };
})(jQuery);
复制代码
C# AntiForgeryToken防XSRF漏洞攻击
一切皆有联系
08-08 9586
XSRF:跨站请求伪造 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie中。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123
asp html表单没有csrf保护,ASP.NET MVC 和网页中的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 548
ASP.NET MVC 和网页中的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET 的表单身份验证...
ValidateAntiForgeryToken 防止CSRF(跨网站请求伪造)
weixin_30832405的博客
12-16 248
用途:防止CSRF(跨网站请求伪造)。 用法:在View->Form表单中:<%:Html.AntiForgeryToken()%> 在Controller->Action动作上:[ValidateAntiForgeryToken] 原理: 1、<%:Html.AntiForgeryToken()%>这个方法会生成一个隐藏域:<in...
ValidateAntiForgeryToken防止CSRF攻击
weixin_30756499的博客
03-28 256
1、在Html表单里面使用了@Html.AntiForgeryToken() 2、相应的我们要在Controller中也要加入[ValidateAntiForgeryToken]过滤特性。 该特性表示检测服务器请求是否被篡改。注意:该特性只能用于post请求,get请求无效。 js提交,我这里使用的是jquery.form.js       var token = $(...
ValidateAntiForgeryToken、AntiForgeryToken 防止CSRF(跨网站请求伪造)
u013400314的博客
06-28 694
换句话说,[ValidateAntiForgeryToken]必须和[HttpPost]同时加在一个ACTION上才可以正常使用。2、[ValidateAntiForgeryToken],根据传过来的令牌进行对比,如果相同,则允许访问,如果不同则拒绝访问。1、 或@Html.AntiForgeryToken()在Controller->Action动作上:[ValidateAntiForgeryToken]用途:防止CSRF(跨网站请求伪造)。
ASP.NET MVC过滤器中权限过滤器ValidateAntiForgeryToken的用法(Post-Only)
bancan7696的博客
07-08 607
用途:防止CSRF(跨网站请求伪造)。 用法:在View->Form表单中:<%:Html.AntiForgeryToken()%> 在Controller->Action动作上:[ValidateAntiForgeryToken] 原理: 1、<%:Html.AntiForgeryToken()%>这个方法会生成一个隐藏域:&...
使用ASP.NET Core,JavaScript和Angular防止CSRF攻击
04-11
2. **生成和注入CSRF令牌**:在视图(Razor页面或MVC视图)中,可以使用`@Html.AntiForgeryToken()`标签助手生成隐藏的CSRF令牌字段。对于AJAX请求,可以使用`@antiforgery.GetTokenAsync()`获取令牌值,并将其包含...
防止MVC应用程序受到跨站点请求伪造攻击
04-05
在ASP.NET MVC框架中,开发人员需要采取措施来防止这种攻击,确保用户的操作是他们真正意愿的体现。本文将深入探讨CSRF攻击的工作原理、其对MVC应用程序的危害以及如何通过ASP.NET MVC框架提供的工具和最佳实践来...
anticsrfCSRF预防库的示例用法
02-02
2. **生成令牌**:在ASP.NET MVC或ASP.NET Core中,可以在控制器的视图模型中注入`AntiForgeryToken`属性,然后在视图中使用`HtmlHelper`的`AntiForgeryToken`方法生成隐藏字段。例如: ```csharp public class ...
MVC5中的跨站点脚本攻击防御
# 1. 理解跨站点脚本攻击 ...反射型XSS攻击攻击者通过诱导用户点击包含恶意脚本的URL,服务器将URL参数中的脚本注入到响应页面中,当用户访问该页面时,脚本被执行。 DOM型XSS攻击攻击者通过修改网页的DOM
MVC 当中 [ValidateAntiForgeryToken] 的作用
weixin_30633507的博客
12-02 781
ValidateAntiForgeryToken 防止CSRF(跨网站请求伪造) 用途:防止CSRF(跨网站请求伪造)。 用法:在View->Form表单中:<%:Html.AntiForgeryToken()%> 在Controller->Action动作上:[ValidateAntiForgeryToken] 原理: 1、<...
mvc 当中 [ValidateAntiForgeryToken] 的作用及用法
极客神殿
08-29 4511
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
ValidateAntiForgeryToken的用途,解释和示例
p15097962069的博客
07-20 2842
Could you explain ValidateAntiForgeryToken purpose and show me example about ValidateAntiForgeryTok
自写过滤器替代ValidateAntiForgeryToken解决asp.net mvc关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户的错误
sxf359的博客
09-03 5389
以前写过一篇 asp.net mvc关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户错误的处理 的博文,在那篇博文最后留下了遗憾,在那篇博文中自定义的过滤器需要在action 中调用两次,才能避免出现关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户这样的错误提示。调用的代码是这样的: [HttpPost] [AllowAnonymous] [LoginAuthoriz
修改了claimsIdentity的值,添加ValidateAntiForgeryToken标签后,无法访问controller,返回400
liangyely的博客
06-19 1276
原因是页面修改了claimsIdentity的值,但是服务器里面还是原来的值,必须重新 HttpContext.SignInAsync一次才能使claimsIdentity服务器端跟客户端一致。
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 5万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
swagger调试接口报错 400 Undocumented Error: Bad Request
qq_31971935的博客
03-18 6999
问题说明:首次使用swagger调试第一个接口的时候,报错400,所有接口都是如此,说明服务端配置有问题。 解决方式: Startup.cs文件重新配置 代码如下: services.AddControllersWithViews(options => { // options.Filters.Add(new AutoValid...
C#MVC中如何将数据写到API中
最新发布
12-12
在C# MVC中,要将数据写入API,通常会遵循以下步骤: 1. **创建控制器(Controller)**:首先,在ASP.NET MVC项目中,你需要创建一个控制器,比如`ProductsController`,它负责处理HTTP请求并操作业务逻辑。 ```csharp public class ProductsController : Controller { } ``` 2. **添加动作方法(Action Methods)**:为API添加处理特定HTTP动词(如GET、POST、PUT、DELETE等)的方法。例如,用于添加产品的POST方法: ```csharp [HttpPost] [ValidateAntiForgeryToken] public ActionResult Create([FromBody] Product product) { // 检查数据是否有效,然后保存到数据库 if (ModelState.IsValid) { _repository.Add(product); _repository.SaveChanges(); return Ok("Product added successfully."); } else { return BadRequest(ModelState); } } ``` 在这里,`[HttpPost]`表示这是一个HTTP POST请求,`[ValidateAntiForgeryToken]`用于防止跨站请求伪造(CSRF攻击。`[FromBody]`属性告诉框架应该从请求体解析JSON数据。 3. **模型绑定(Model Binding)**:`product`参数就是模型类`Product`的实例,需要在`Models`文件夹中定义它,并包含所需的数据属性。 4. **数据访问层(Repository)**:通过依赖注入或手动管理,创建一个`IRepository<Product>`接口的实现,用于操作数据库。`_repository.Add(product)`用于将产品添加到数据源。 5. **响应结果(Response)**:最后,根据操作结果返回适当的HTTP状态码和响应体。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值