aspnet mvc使用@Html.AntiForgeryToken()防止跨站攻擊
asp.net mvc中Html.AntiForgeryToken()能夠防止跨站請求僞造攻擊,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻擊不一樣,XSS通常是利用站內信任的用戶在網站內插入惡意的腳本代碼進行攻擊,而CSRF則是僞形成受信任用戶對網站進行攻擊。
舉個簡單例子,譬如整個系統的公告在網站首頁顯示,而這個公告是從後臺提交的,我用最簡單的寫法:
網站後臺(Home/Index頁面)設置首頁公告內容,提交到HomeController的Text Action
html
@using (Html.BeginForm("Text","Home",FormMethod.Post))
{
@:輸入信息:<input type="text" name="Notice" id="Notice" />
<input type="submit" value="Submit" />
}
HomeController的Text Action
[HttpPost]
public ActionResult Text()
{
ViewBag.Notice = Request.Form["Notice"].ToString();
return View();
}
填寫完公告,提交,顯示
此時提供給了跨站攻擊的漏洞,CSRF通常依賴幾個條件
(1)攻擊者瞭解受害者所在的站點
(2)攻擊者的目標站點具備持久化受權cookie或者受害者具備當前會話cookie
(3)目標站點沒有對用戶在網站行爲的第二受權此時
如今咱們來開始模擬跨站請求,假設請求地址是http://localhost:25873/Home/Text,且也知足2,3的狀況。
因而我新建一個AntiForgeryText.html文件,內容以下c#
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" > <head> <title></title> </head> <body> <form name="badform" method="post" action="http://localhost:6060/Home/Text"> <input type="hidden" name="Notice" id="Notice" value="你的網站被我黑了。。" /> <input type="submit" value="黑掉這個網站" /> </form> </body> </html>
在這個html中加了一個隱藏的字段,Name和Id和網站要接收的參數名同樣。
我點擊了「黑掉這個網站」,呈現以下
這個就是利用了漏洞把首頁的公告給改了,這就是一個簡單的跨站攻擊的例子。
MVC中經過在頁面上使用 Html.AntiForgeryToken()配合在對應的Action上增長[ValidateAntiForgeryToken]特性來防止跨站攻擊。
把上面的代碼改爲cookie
@using (Html.BeginForm("Text","Home",FormMethod.Post))
{
@Html.AntiForgeryToken()
@:網站公告:<input type="text" name="Notice" id="Notice" />
<input type="submit" value="Submit" />
}
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Text()
{
ViewBag.Notice = Request.Form["Notice"].ToString();
return View();
}
這樣子我在AntiForgeryText.html中點"黑掉這個網站",再次發出請求
這就成功的防止了跨站攻擊
mvc
參考資料:asp.net mvc中的@Html.AntiForgeryToken()防止跨站攻擊http://www.ourcodelife.com/thread-49179-1-1.htmlasp.net
- 1. MVC Html.AntiForgeryToken() 防止CSRF攻擊
- 2. MVC- Html.AntiForgeryToken() 防止CSRF攻擊
- 3. [ASP.NET MVC]@Html.AntiForgeryToken() 防止CSRF攻擊
- 4. 防止跨站攻擊——CSRFToken
- 5. PHP - 防止 XSS(跨站腳本攻擊)
- 6. ASP.NET MVC 防止跨站請求僞造(CSRF)攻擊的方法
- 7. 360[警告]跨站腳本攻擊漏洞/java web利用Filter防止XSS/Spring MVC防止XSS攻擊
- 8. MVC防止CSRF攻擊
- 9. Nancy啓用跨站攻擊防護(CSRF)
- 10. SSM框架搭建網站防止跨站腳本攻擊(一)
- 更多相關文章...
- • 防止使用TCP協議掃描端口 - TCP/IP教程
- • 使用TCP協議檢測防火牆 - TCP/IP教程
- • Composer 安裝與使用
- • 使用Rxjava計算圓周率
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. js中 charCodeAt
- 2. Android中通過ViewHelper.setTranslationY實現View移動控制(NineOldAndroids開源項目)
- 3. 【Android】日常記錄:BottomNavigationView自定義樣式,修改點擊後圖片
- 4. maya 文件檢查 ui和數據分離 (一)
- 5. eclipse 修改項目的jdk版本
- 6. Android InputMethod設置
- 7. Simulink中Bus Selector出現很多? ? ?
- 8. 【Openfire筆記】啓動Mac版Openfire時提示「系統偏好設置錯誤」
- 9. AutoPLP在偏好標籤中的生產與應用
- 10. 數據庫關閉的四種方式
- 1. MVC Html.AntiForgeryToken() 防止CSRF攻擊
- 2. MVC- Html.AntiForgeryToken() 防止CSRF攻擊
- 3. [ASP.NET MVC]@Html.AntiForgeryToken() 防止CSRF攻擊
- 4. 防止跨站攻擊——CSRFToken
- 5. PHP - 防止 XSS(跨站腳本攻擊)
- 6. ASP.NET MVC 防止跨站請求僞造(CSRF)攻擊的方法
- 7. 360[警告]跨站腳本攻擊漏洞/java web利用Filter防止XSS/Spring MVC防止XSS攻擊
- 8. MVC防止CSRF攻擊
- 9. Nancy啓用跨站攻擊防護(CSRF)
- 10. SSM框架搭建網站防止跨站腳本攻擊(一)