ASP.NET如何防止跨站点请求伪造
2015-01-04 21:55
627 查看
环境:ASP.NET、MVC5、EntityFramework
对于任何BS程序来说,安全始终是最为重要的一个话题,而跨站点请求伪造是最容易发起的,只需要下个工具(如fiddler)即可轻易实现。我们可以通过对Controller类采取下列措施防止该类黑客行为的发生:
1、在提交数据处理的页面上,加上@Html.AntiForgeryToken()语句。
2、在接收并处理提交的数据的方法上加上[ValidateAntiForgeryToken]属性。
3、对于所有对数据库等信息进行操作的方法,全部加上[HttpPost]属性,即使用POST提交数据。
4、在该方法上利用BindAttribute绑定entityclass,将用Include属性限定绑定的属性范围,令该方法不处理指定参数之外的参数。
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResultEdit([Bind(Include="ID,LastName,FirstMidName,EnrollmentDate")]Student student)
{
if(ModelState.IsValid)
{
db.Entry(student).State =EntityState.Modified;
db.SaveChanges();
returnRedirectToAction("Index");
}
returnView(student);
}
但经测试,上述代码会产生一个问题,即不在绑定的属性清单中的字段值会被直接清为null。
5、不采用绑定entity class,而是通过利用控制器的TryUpdateModel方法来限定字段范围,再通过db.Entry将其State设置为EntityState.Modified,最后提交数据。具体如下:
[HttpPost,ActionName("Edit")]
[ValidateAntiForgeryToken]
public ActionResult EditPost(int? id)
{
if (id ==null)
{
return newHttpStatusCodeResult(HttpStatusCode.BadRequest);
}
varstudentToUpdate = db.Students.Find(id);
if(TryUpdateModel(studentToUpdate, "",
new string[] { "LastName","FirstMidName", "EnrollmentDate" }))
{
try
{
db.Entry(studentToUpdate).State =EntityState.Modified;
db.SaveChanges();
return RedirectToAction("Index");
}
catch (DataException )
{
//Log the error (uncomment dex variable name andadd a line here to write a log.
ModelState.AddModelError("", "Unable to savechanges. Try again, and if the problem persists, see your systemadministrator.");
}
}
returnView(studentToUpdate);
}
用此方法,并发处理将会被忽略,也就是即便没有被指定的字段也会使用加载时(Find方法调用时)的值重新更新一次。
对于任何BS程序来说,安全始终是最为重要的一个话题,而跨站点请求伪造是最容易发起的,只需要下个工具(如fiddler)即可轻易实现。我们可以通过对Controller类采取下列措施防止该类黑客行为的发生:
1、在提交数据处理的页面上,加上@Html.AntiForgeryToken()语句。
2、在接收并处理提交的数据的方法上加上[ValidateAntiForgeryToken]属性。
3、对于所有对数据库等信息进行操作的方法,全部加上[HttpPost]属性,即使用POST提交数据。
4、在该方法上利用BindAttribute绑定entityclass,将用Include属性限定绑定的属性范围,令该方法不处理指定参数之外的参数。
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResultEdit([Bind(Include="ID,LastName,FirstMidName,EnrollmentDate")]Student student)
{
if(ModelState.IsValid)
{
db.Entry(student).State =EntityState.Modified;
db.SaveChanges();
returnRedirectToAction("Index");
}
returnView(student);
}
但经测试,上述代码会产生一个问题,即不在绑定的属性清单中的字段值会被直接清为null。
5、不采用绑定entity class,而是通过利用控制器的TryUpdateModel方法来限定字段范围,再通过db.Entry将其State设置为EntityState.Modified,最后提交数据。具体如下:
[HttpPost,ActionName("Edit")]
[ValidateAntiForgeryToken]
public ActionResult EditPost(int? id)
{
if (id ==null)
{
return newHttpStatusCodeResult(HttpStatusCode.BadRequest);
}
varstudentToUpdate = db.Students.Find(id);
if(TryUpdateModel(studentToUpdate, "",
new string[] { "LastName","FirstMidName", "EnrollmentDate" }))
{
try
{
db.Entry(studentToUpdate).State =EntityState.Modified;
db.SaveChanges();
return RedirectToAction("Index");
}
catch (DataException )
{
//Log the error (uncomment dex variable name andadd a line here to write a log.
ModelState.AddModelError("", "Unable to savechanges. Try again, and if the problem persists, see your systemadministrator.");
}
}
returnView(studentToUpdate);
}
用此方法,并发处理将会被忽略,也就是即便没有被指定的字段也会使用加载时(Find方法调用时)的值重新更新一次。
相关文章推荐
- ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的方法
- 浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
- ASP.NET Core 防止跨站请求伪造(XSRF/CSRF)攻击
- ASP.NET Core 防止跨站请求伪造(XSRF\/CSRF)攻击
- 我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止跨站点请求伪造 (CSRF) 攻击
- ASP.NET MVC 3.0(十三): MVC 3.0 防止跨站点请求伪造 (CSRF) 攻击
- 我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止跨站点请求伪造 (CSRF) 攻击
- ASP.NET WebApi服务接口如何防止重复请求实现HTTP幂等性(八)
- Asp.net安全架构CSRF(跨站点请求伪造)
- ASP.NET MVC中防止跨站请求攻击(CSRF)
- Asp.net安全架构之3:CSRF(跨站点请求伪造)
- 解决asp.net跨站点请求伪造的简单手段以及遇到的问题
- Asp.net安全架构之3:CSRF(跨站点请求伪造)
- asp.net MVC中防止跨站请求攻击(CSRF)的ajax用法
- 如何防止ASP.NET应用程序中的SQL注入安全漏洞
- 如何在ASP.NET站点中实现对用户请求的监控
- [导入]ASP.NET如何防止页面重复提交
- asp.net 中如何请求一个其它网站的页面
- 如何使用jquery GET方式请求调用asp.net方法
- 如何防止ASP.NET应用程序中的SQL注入安全漏洞