MVC中的Html.AntiForgeryToken()是用來防止跨站請求偽造(CSRF:Cross-site request forgery)***的一個措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),***不同,XSS一般是利用站內信任的用戶在網站內插入惡意的腳本代碼進行***,而CSRF則是偽造成受信任用戶對網站進行***。
舉個簡單例子,譬如整個系統的公告在網站首頁顯示,而這個公告是從后臺提交的,我用最簡單的寫法:
網站后臺(Home/Index頁面)設置首頁公告內容,提交到HomeController的Text Action
@using (Html.BeginForm("Text","Home",FormMethod.Post))?
{?
??? @:網站公告:<input type="text" name="Notice" id="Notice" />?
??? <input type="submit" value="Submit" />?
}
HomeController的Text Action
[HttpPost]?
public ActionResult Text()?
{?
???? ViewBag.Notice = Request.Form["Notice"].ToString();?
return View();?
}
填寫完公告,提交,顯示
此時提供給了跨站***的漏洞,CSRF一般依賴幾個條件
(1)***者了解受害者所在的站點
(2)***者的目標站點具有持久化授權cookie或者受害者具有當前會話cookie
(3)目標站點沒有對用戶在網站行為的第二授權此時
具體參見http://baike.baidu.com/view/1609487.htm
現假設我知道我要***的網站的地址,譬如是http://localhost:6060/Home/Text,且也滿足2,3的情況。
于是我新建一個AntiForgeryText.html文件,內容如下:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">?
<html xmlns="http://www.w3.org/1999/xhtml" >?
<head>?
<title></title>?
</head>?
<body>?
<form name="badform" method="post" action="http://localhost:6060/Home/Text">?
<input type="hidden" name="Notice" id="Notice" value="你的網站被我黑了。。" />?
<input type="submit" value="黑掉這個網站" />?
</form>?
</body>?
</html>
在這個html中加了一個隱藏的字段,Name和Id和網站要接收的參數名一樣。
我點擊了“黑掉這個網站”,呈現如下
這個就是利用了漏洞把首頁的公告給改了,這就是一個簡單的跨站***的例子。
MVC中通過在頁面上使用 Html.AntiForgeryToken()配合在對應的Action上增加[ValidateAntiForgeryToken]特性來防止跨站***。
把上面的代碼改成
@using (Html.BeginForm("Text","Home",FormMethod.Post))?
{?
@Html.AntiForgeryToken()?
??? @:網站公告:<input type="text" name="Notice" id="Notice" />?
<input type="submit" value="Submit" />?
}
對應的Action
??????? [HttpPost]?
? [ValidateAntiForgeryToken]?
public ActionResult Text()?
??????? {?
??????????? ViewBag.Notice = Request.Form["Notice"].ToString();?
return View();?
??????? }
這樣子我在AntiForgeryText.html中點"黑掉這個網站",就會出現
這樣就防止了跨站***。
頁面上的Html.AntiForgeryToken()會給訪問者一個默認名為__RequestVerificationToken的cookie?
為了驗證一個來自form post,還需要在目標action上增加[ValidateAntiForgeryToken]特性,它是一個驗證過濾器,?
它主要檢查
(1)請求的是否包含一個約定的AntiForgery名的cookie
(2)請求是否有一個Request.Form["約定的AntiForgery名"],約定的AntiForgery名的cookie和Request.Form值是否匹配
其中主要涉及到System.Web.WebPages.dll中的靜態類AntiForgery?
Html.AntiForgeryToken()調用了AntiForgery靜態類的GetHtml方法,它產生一個隨機值然后分別存儲到客戶端cookie和頁面的hidden field中,
(1)Request.Cookies[antiForgeryTokenName](默認也是Request.Cookies["__RequestVerificationToken"])
(2)頁面上的hiddenfield
<input name="__RequestVerificationToken" type="hidden" value="9rUlMYvsH6eMcFN9tn/wRwAG07eROraVaeTn9hHMXKkMmDbR8jLw5DKdVnZBJ9siQHeGyl1w4rSB141LnxMp2ahV0qP1lElPeukqfcUFYoxrm/EfpSJjZavykmzn15VeGFMKkmgFj5a1UFhZFaW2aZgeN38x9lt0OFSoca7eMVU=" />
其中cookie的key的名字和頁面hidden field的名字是一樣的,默認都是"__RequestVerificationToken",如果有提供ApplicationPath的話,那就是由"__RequestVerificationToken"和經過處理后的ApplicationPath組成。
Controller端則通過在Action上增加[ValidateAntiForgeryToken]特性來驗證,?
ValidateAntiForgeryTokenAttribute繼承了FilterAttribute和IAuthorizationFilter,通過傳遞匿名委托方法,
委托調用AntiForgery類的Validate方法來實現驗證。
Validate方法中主要驗證Request.Cookies[antiForgeryTokenName]和<input name=antiForgeryTokenName?...>兩個的值是否相同,
如果頁面沒有<input name=antiForgeryTokenName?...>,或者兩個值不相等,就會拋出異常。
轉載于:https://blog.51cto.com/haihuiwei/1966347
)
 - 發布計劃 (Release Planning))
