[水煮 ASP.NET Web API2 方法论](1-7)CSRF-Cross-Site Request Forgery
2016-11-16 08:46
495 查看
问题
通过 CSRF(Cross-Site Request Forgery)防护,保护从 MVC 页面提交到ASP.NET Web API 的数据。
解决方案
ASP.NET 已经加入了 CSRF 防护功能,只要通过 System.web.Helpers.AntiForgery 类(System.Web.WebPages 的一部分)就可以。
他会生成两个 Token:
Cookie Token
基于字符串的 Token
基于字符串的 Token 是可以嵌入到表单或者请求头(使用 Ajax 的情况下)。为了防止 CSRF 攻击,表单提交和Ajax 请求到 API 的数据必须包含这些Token,服务器将会验证这两个 Token。
在 ASP.NET Web API,anti-CSRF Token 验证是一个典型的实现了横切关系的 MessageHandler。
工作原理
为了能在 MVC 应用程序的上下文中生成 Token,我们必须在表单中调用一个叫做 AntiForgeryToken 的HtmlHelper 的扩展方法。
这个帮助方法在AntiForgery 类中。他会写一个 Token 到响应的 Cookie 中,同时生成一个名字叫做_RequestVerificationToken 的字段,也会随着表单数据同时被提交。
为能在服务器端验证 Token,我们可以通过调用AntiForgery 类的静态方法 Validate 来验证。如果调用的时候没有传递参数的话,就会从 HttpContext.Current 中试着获取相关的 Cookie 和请求体中提取 Token,在这里,我们假设确实有一个 Body 并且 Body 中也有一个 _RequestVerificationToken。
由于这个方法是 void (无返回值)的,所以,请求验证成功后,方法什么反馈也没有,如果失败,就会抛HttpAntiForgeryException 的异常。我们可以捕获这个异常,然后返回给客户端相应的响应(例如,一个 HTTP 403 的状态码)。
有一个可替代的方式就是调用 Validate 方法,我们自己来传这两个 Token。这时候,就要从 Request 中获取这两个值。例如,可能是在 Header 中。这种方式也可以摆脱对 HttpContext 的依赖。
对于 Web API,我们可以自定义消息处理器,在每个请求进入 Web API 的时候来负责 CSRF Token 的验证,执行必要的验证,然后继续管道执行,或者,在请求无效的情况下,直接短路错误响应(也就是说,立即返回错误码)。
代码演示
我们来演示 MessageHandler 执行 CSRF 验证的例子如清单 1-23 所示。
两种方式:
用 Ajax 请求。
用其他的请求。
我们都简单假设他们都是表单提交的。如果是一个 Ajax 请求,我们可以尝试着从请求 Header 中获取Token,同时,可以从与 Request 一同提交的 Cookie 集合中获取Cookie Token,然后,使用无参的 Validate方法验证,这样,就需要我们自己来提取 Token。
如果验证失败,客户端会得到一个 403 的错误响应。
清单 1-23. Anti_CSRF 消息处理器
我们还需要在 API 的HttpConfiguration 中注册,这样才会在全局起作用。
构筑一个 anti-CSRF 护盾作为消息处理器并不是唯一方式。我们也可以在过滤器内部使用同样的代码,然后将过滤器应用到相应的 Action 上(类似的,怎么用过滤器验证,我们将在 5-4 详细讨论)。如果消息处理器不是全局使用,也可以附加到指定路由上。我们将在 3-9 详细讨论这一块儿。
HttpRequestMessage有一个内建的方式来检查是否为 Ajax 请求,就是用一个简单的扩展方法来实现,他依赖于 Header 的 X-Requested-With,大多数的 JavaScript 框架都会自动发送这个在 Header 中。这个方法如清单1-24 所示。
清单 1-24. 检查 HttpRequestMessage 是否为一个 Ajax 请求的扩展方法。
清单 1-25 展示了,传统表单提交和 Ajax 请求都利用 anti-CSRF Token 的例子。在传统表单提交的情况下,HTML helper 会生成一个隐藏域,同时,anti-forgery token 会随着表单一块儿被自动提交。在 Ajax 请求的情况下,我们显示的从隐藏域中读取 Token,然后,将其附加到请求头中。
清单 1-25. 传统表单和 Ajax 请求方式下,提交数据到 ASP.NET WEB API 使用 Anti-CSRF 防护
//HTML表单
// Ajax 表单
通过 CSRF(Cross-Site Request Forgery)防护,保护从 MVC 页面提交到ASP.NET Web API 的数据。
解决方案
ASP.NET 已经加入了 CSRF 防护功能,只要通过 System.web.Helpers.AntiForgery 类(System.Web.WebPages 的一部分)就可以。
他会生成两个 Token:
Cookie Token
基于字符串的 Token
基于字符串的 Token 是可以嵌入到表单或者请求头(使用 Ajax 的情况下)。为了防止 CSRF 攻击,表单提交和Ajax 请求到 API 的数据必须包含这些Token,服务器将会验证这两个 Token。
在 ASP.NET Web API,anti-CSRF Token 验证是一个典型的实现了横切关系的 MessageHandler。
工作原理
为了能在 MVC 应用程序的上下文中生成 Token,我们必须在表单中调用一个叫做 AntiForgeryToken 的HtmlHelper 的扩展方法。
为能在服务器端验证 Token,我们可以通过调用AntiForgery 类的静态方法 Validate 来验证。如果调用的时候没有传递参数的话,就会从 HttpContext.Current 中试着获取相关的 Cookie 和请求体中提取 Token,在这里,我们假设确实有一个 Body 并且 Body 中也有一个 _RequestVerificationToken。
由于这个方法是 void (无返回值)的,所以,请求验证成功后,方法什么反馈也没有,如果失败,就会抛HttpAntiForgeryException 的异常。我们可以捕获这个异常,然后返回给客户端相应的响应(例如,一个 HTTP 403 的状态码)。
有一个可替代的方式就是调用 Validate 方法,我们自己来传这两个 Token。这时候,就要从 Request 中获取这两个值。例如,可能是在 Header 中。这种方式也可以摆脱对 HttpContext 的依赖。
对于 Web API,我们可以自定义消息处理器,在每个请求进入 Web API 的时候来负责 CSRF Token 的验证,执行必要的验证,然后继续管道执行,或者,在请求无效的情况下,直接短路错误响应(也就是说,立即返回错误码)。
代码演示
我们来演示 MessageHandler 执行 CSRF 验证的例子如清单 1-23 所示。
两种方式:
用 Ajax 请求。
用其他的请求。
我们都简单假设他们都是表单提交的。如果是一个 Ajax 请求,我们可以尝试着从请求 Header 中获取Token,同时,可以从与 Request 一同提交的 Cookie 集合中获取Cookie Token,然后,使用无参的 Validate方法验证,这样,就需要我们自己来提取 Token。
如果验证失败,客户端会得到一个 403 的错误响应。
清单 1-23. Anti_CSRF 消息处理器
HttpRequestMessage有一个内建的方式来检查是否为 Ajax 请求,就是用一个简单的扩展方法来实现,他依赖于 Header 的 X-Requested-With,大多数的 JavaScript 框架都会自动发送这个在 Header 中。这个方法如清单1-24 所示。
清单 1-24. 检查 HttpRequestMessage 是否为一个 Ajax 请求的扩展方法。
清单 1-25. 传统表单和 Ajax 请求方式下,提交数据到 ASP.NET WEB API 使用 Anti-CSRF 防护
//HTML表单
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- [水煮 ASP.NET Web API2 方法论](1-7)CSRF-Cross-Site Request Forgery
- Asp.net MVC 3 防止 Cross-Site Request Forgery (CSRF)原理及扩展 安全 注入
- Asp.net MVC 3 防止 Cross-Site Request Forgery (CSRF)原理及扩展
- 每日一记======>(转)CSRF介绍(Cross-site request forgery)以及django中的处理方法
- [水煮 ASP.NET Web API2 方法论](1-4)从 MVC Controller 链接到 API Controller 以及反向链接
- [水煮 ASP.NET Web API2 方法论](12-1)创建 OData
- 跨站请求伪造(Cross Site Request Forgery (CSRF))
- Cross Site Request Forgery (CSRF)--medium
- [水煮 ASP.NET Web API2 方法论](1-6)Model Validation
- [水煮 ASP.NET Web API2 方法论](1-1)在MVC 应用程序中添加 ASP.NET Web API
- WebGoat学习——跨站请求伪造(Cross Site Request Forgery (CSRF))
- CSRF(Cross-site request forgery)跨站请求伪造
- [水煮 ASP.NET Web API2 方法论](1-8)添加 Session 状态
- web安全三——跨站请求伪造攻击(Cross Site Request Forgery (CSRF))
- [水煮 ASP.NET Web API2 方法论](1-2)在 WebForm 应用程序中添加 ASP.NET Web API
- Cross-Site Request Forgery (CSRF)
- CSRF(Cross-site request forgery 跨站请求伪造)
- CSRF (Cross Site Request Forgery)
- Cross-Site Request Forgery (CSRF)
- [水煮 ASP.NET Web API2 方法论](1-4)从 MVC Controller 链接到 API Controller 以及反向链接