架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 25339|回复: 7

[ASP.NET] ASP.NET CSRF 攻击Ajax请求封装

[复制链接]
发表于 2019-9-12 09:42:54 | 显示全部楼层 |阅读模式
CSRF是什么?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失。

CSRF可以做什么?

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

ASP.NET MVC AntiForgeryToken防伪标记

在ASP.NET MVC中,默认只要在视图页面中使用@Html.AntiForgeryToken(),就会自动生成表单令牌和Cookie令牌。但是我们后台如果想要实现手动获取,就要使用System.Web.Helpers.AntiForgery这个类,有兴趣查看源码的朋友会发现,其实@Html.AntiForgeryToken()内部调用的方法和AntiForgery这个类是一样的。

主要是通过AntiForgery.GetHtml()或者AntiForgery.GetTokens(string oldCookieToken,out string newCookieToken,out string formToken)这两个静态方法获取对应的表单和Cookie令牌。不过要注意的是,一旦调用了GetHtml方法,会自动生成对应的Cookie令牌,然后直接返回一段带有表单令牌值隐藏字段的Html代码,返回的值是这种形式的:

<input name="__RequestVerificationToken" type="hidden" value="8_nUk_3z0svQr9qcvRBi9SWMZ2-SYmuy9kRe9OgRobGULkb2Z4JZxRZFhR0ndeoy9hmDLDru7MFk-W4xrnL5z5T6VbkfXK7fyRk-egQBGm41">

隐藏字段的name名称一般固定为"__RequestVerificationToken",值是经过加密后的防伪令牌。 这个隐藏字段一般要放置在所需提交的表单中,最后提交的时候会和Cookie令牌进行对比验证。

如果使用GetTokens方法,传入对应的参数后可以获取加密后的表单和Cookie令牌,但是这里要自己存储对应的值。

接下来开始介绍手动更新AntiForgeryToken的方法,主要是通过AJAX进行操作。

封装代码:

  1. $.ajaxSetup({
  2.             cache: false,
  3.             beforeSend: function (jqXHR, settings) {
  4.                 let token = $('input[name="__RequestVerificationToken"]').val();
  5.                 if(token){
  6.                     settings.data = settings.data && settings.data.length > 0 ? (settings.data + "&") : "";
  7.                     settings.data = settings.data + "__RequestVerificationToken=" + token;
  8.                 }
  9.                 return true;
  10.             }
  11.         });
复制代码


测试代码:

  1. <!DOCTYPE html>
  2. <html lang="en">
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <meta name="viewport" content="width=device-width, initial-scale=1.0">
  6.     <meta http-equiv="X-UA-Compatible" content="ie=edge">
  7.     <title>Document</title>
  8.     <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.4.1/jquery.min.js" integrity="sha256-CSXorXvZcTkaix6Yvo6HppcZGetbYMGWSFlBw8HfCJo=" crossorigin="anonymous"></script>
  9.     <script>
  10.         $.ajaxSetup({
  11.             cache: false,
  12.             beforeSend: function (jqXHR, settings) {
  13.                 let token = $('input[name="__RequestVerificationToken"]').val();
  14.                 if(token){
  15.                     settings.data = settings.data && settings.data.length > 0 ? (settings.data + "&") : "";
  16.                     settings.data = settings.data + "__RequestVerificationToken=" + token;
  17.                 }
  18.                 return true;
  19.             }
  20.         });
  21.         const api = "https://www.itsvse.com/a.html";
  22.         $(function(){
  23.             $.post(api,{a:"1"},function(data){
  24.                 console.log(data);
  25.             });
  26.             $.ajax({
  27.                 type: "POST",
  28.                 url: api,
  29.                 contentType: "application/json;charset=utf-8",
  30.                 data:{"name":"itsvse","pwd":"123456"},
  31.                 dataType: "json",
  32.                 success:function (message) {
  33.                     alert("提交成功"+JSON.stringify(message));
  34.                 },
  35.                 error:function (message) {
  36.                     alert("提交失败"+JSON.stringify(message));
  37.                 }
  38.             });
  39.         });
  40.     </script>
  41. </head>
  42. <body>
  43.     <h2>test</h2>
  44.     <input name="__RequestVerificationToken" type="hidden" value="8_nUk_3z0svQr9qcvRBi9SWMZ2-SYmuy9kRe9OgRobGULkb2Z4JZxRZFhR0ndeoy9hmDLDru7MFk-W4xrnL5z5T6VbkfXK7fyRk-egQBGm41">
  45. </body>
  46. </html>
复制代码


我们发现在发送ajax请求的时候,自动带上了__RequestVerificationToken参数,如下图:

QQ拼音截图未命名.jpg





上一篇:Windows CMD 查看历史命令记录教程
下一篇:认识一下 Azure DevOps
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2019-9-25 18:09:46 | 显示全部楼层
  1. <script src="jquery.js"></script>
  2. <body>
  3.     @Html.AntiForgeryToken()
  4.     <script>
  5.         $.ajaxSetup({
  6.             headers: {
  7.                  'RequestVerificationToken': $("*[name='__RequestVerificationToken']").val()
  8.             }
  9.         });
  10.     </script>
  11. </body>
复制代码
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2019-11-10 15:06:37 | 显示全部楼层
没写后台的处理方案啊?加header里面和不加header的后台处理是不一样的吧
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2019-11-21 10:38:40 | 显示全部楼层
danqingcheng 发表于 2019-11-10 15:06
没写后台的处理方案啊?加header里面和不加header的后台处理是不一样的吧

嗯  要重新写个过滤器
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2021-2-20 19:22:14 | 显示全部楼层
mvc ajax带上AntiForgeryToken防止CSRF攻击
https://www.itsvse.com/thread-4207-1-1.html
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2021-12-9 18:41:29 | 显示全部楼层
testtesttesttesttesttest
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2022-4-17 12:59:39 | 显示全部楼层
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2024-9-26 15:57:52 | 显示全部楼层
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-10-8 10:26

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表