架构师_程序员

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 307|回复: 3

[ASP.NET] ASP.NET CSRF 攻击Ajax请求封装

[复制链接]
跳转到指定楼层
楼主
发表于 2019-9-12 09:42:54
zu
CSRF是什么?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失。

CSRF可以做什么?

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

ASP.NET MVC AntiForgeryToken防伪标记

在ASP.NET MVC中,默认只要在视图页面中使用@Html.AntiForgeryToken(),就会自动生成表单令牌和Cookie令牌。但是我们后台如果想要实现手动获取,就要使用System.Web.Helpers.AntiForgery这个类,有兴趣查看源码的朋友会发现,其实@Html.AntiForgeryToken()内部调用的方法和AntiForgery这个类是一样的。

主要是通过AntiForgery.GetHtml()或者AntiForgery.GetTokens(string oldCookieToken,out string newCookieToken,out string formToken)这两个静态方法获取对应的表单和Cookie令牌。不过要注意的是,一旦调用了GetHtml方法,会自动生成对应的Cookie令牌,然后直接返回一段带有表单令牌值隐藏字段的Html代码,返回的值是这种形式的:

<input name="__RequestVerificationToken" type="hidden" value="8_nUk_3z0svQr9qcvRBi9SWMZ2-SYmuy9kRe9OgRobGULkb2Z4JZxRZFhR0ndeoy9hmDLDru7MFk-W4xrnL5z5T6VbkfXK7fyRk-egQBGm41">

隐藏字段的name名称一般固定为"__RequestVerificationToken",值是经过加密后的防伪令牌。 这个隐藏字段一般要放置在所需提交的表单中,最后提交的时候会和Cookie令牌进行对比验证。

如果使用GetTokens方法,传入对应的参数后可以获取加密后的表单和Cookie令牌,但是这里要自己存储对应的值。

接下来开始介绍手动更新AntiForgeryToken的方法,主要是通过AJAX进行操作。

封装代码:

  1. $.ajaxSetup({
  2.             cache: false,
  3.             beforeSend: function (jqXHR, settings) {
  4.                 let token = $('input[name="__RequestVerificationToken"]').val();
  5.                 if(token){
  6.                     settings.data = settings.data && settings.data.length > 0 ? (settings.data + "&") : "";
  7.                     settings.data = settings.data + "__RequestVerificationToken=" + token;
  8.                 }
  9.                 return true;
  10.             }
  11.         });
复制代码


测试代码:

  1. <!DOCTYPE html>
  2. <html lang="en">
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <meta name="viewport" content="width=device-width, initial-scale=1.0">
  6.     <meta http-equiv="X-UA-Compatible" content="ie=edge">
  7.     <title>Document</title>
  8.     <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.4.1/jquery.min.js" integrity="sha256-CSXorXvZcTkaix6Yvo6HppcZGetbYMGWSFlBw8HfCJo=" crossorigin="anonymous"></script>
  9.     <script>
  10.         $.ajaxSetup({
  11.             cache: false,
  12.             beforeSend: function (jqXHR, settings) {
  13.                 let token = $('input[name="__RequestVerificationToken"]').val();
  14.                 if(token){
  15.                     settings.data = settings.data && settings.data.length > 0 ? (settings.data + "&") : "";
  16.                     settings.data = settings.data + "__RequestVerificationToken=" + token;
  17.                 }
  18.                 return true;
  19.             }
  20.         });
  21.         const api = "http://www.xcukye.cn/a.html";
  22.         $(function(){
  23.             $.post(api,{a:"1"},function(data){
  24.                 console.log(data);
  25.             });
  26.             $.ajax({
  27.                 type: "POST",
  28.                 url: api,
  29.                 contentType: "application/json;charset=utf-8",
  30.                 data:{"name":"itsvse","pwd":"123456"},
  31.                 dataType: "json",
  32.                 success:function (message) {
  33.                     alert("提交成功"+JSON.stringify(message));
  34.                 },
  35.                 error:function (message) {
  36.                     alert("提交失败"+JSON.stringify(message));
  37.                 }
  38.             });
  39.         });
  40.     </script>
  41. </head>
  42. <body>
  43.     <h2>test</h2>
  44.     <input name="__RequestVerificationToken" type="hidden" value="8_nUk_3z0svQr9qcvRBi9SWMZ2-SYmuy9kRe9OgRobGULkb2Z4JZxRZFhR0ndeoy9hmDLDru7MFk-W4xrnL5z5T6VbkfXK7fyRk-egQBGm41">
  45. </body>
  46. </html>
复制代码


我们发现在发送ajax请求的时候,自动带上了__RequestVerificationToken参数,如下图:







上一篇:Windows CMD 查看历史命令记录教程
下一篇:认识一下 Azure DevOps
帖子永久地址: 

架构师_程序员 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
2、本站所有主题由该帖子作者发表,该帖子作者与架构师_程序员享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和架构师_程序员的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、架构师_程序员管理员和版主有权不事先通知发贴者而删除本文

码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
沙发
 楼主| 发表于 2019-9-25 18:09:46
  1. <script src="jquery.js"></script>
  2. <body>
  3.     @Html.AntiForgeryToken()
  4.     <script>
  5.         $.ajaxSetup({
  6.             headers: {
  7.                  'RequestVerificationToken': $("*[name='__RequestVerificationToken']").val()
  8.             }
  9.         });
  10.     </script>
  11. </body>
复制代码
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
板凳
发表于 2019-11-10 15:06:37
没写后台的处理方案啊?加header里面和不加header的后台处理是不一样的吧
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
地板
 楼主| 发表于 2019-11-21 10:38:40
danqingcheng 发表于 2019-11-10 15:06
没写后台的处理方案啊?加header里面和不加header的后台处理是不一样的吧

嗯  要重新写个过滤器
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|Archiver|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2019-12-5 03:02

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表
即时比分新浪