[ASP.NET MVC]@Html.AntiForgeryToken() 防止CSRF攻擊

MVC Html.AntiForgeryToken() 防止CSRF攻擊

MVC中的Html.AntiForgeryToken()是用來防止跨站請求僞造(CSRF:Cross-site request forgery)攻擊的一個措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻擊不一樣,XSS通常是利用站內信任的用戶在網站內插入惡意的腳本代碼進行攻擊，而CSRF則是僞形成受信任用戶對網站進行攻擊。

 

舉個簡單例子，譬如整個系統的公告在網站首頁顯示，而這個公告是從後臺提交的，我用最簡單的寫法：

網站後臺(Home/Index頁面)設置首頁公告內容，提交到HomeController的Text Action

@using (Html.BeginForm("Text","Home",FormMethod.Post)) { @:網站公告:<input type="text" name="Notice" id="Notice" />  
    <input type="submit" value="Submit" /> } 

 

HomeController的Text Action

 

[HttpPost] public ActionResult Text() { ViewBag.Notice = Request.Form["Notice"].ToString(); return View(); } 

 

填寫完公告，提交，顯示

 

 

此時提供給了跨站攻擊的漏洞，CSRF通常依賴幾個條件

(1)攻擊者瞭解受害者所在的站點

(2)攻擊者的目標站點具備持久化受權cookie或者受害者具備當前會話cookie

(3)目標站點沒有對用戶在網站行爲的第二受權此時

具體參見http://baike.baidu.com/view/1609487.htm

 

現假設我知道我要攻擊的網站的地址，譬如是http://localhost:6060/Home/Text,且也知足2，3的狀況。

因而我新建一個AntiForgeryText.html文件，內容以下：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
<html xmlns="http://www.w3.org/1999/xhtml" >  
<head>  
    <title></title>  
</head>  
<body>  
    <form name="badform" method="post" action="http://localhost:6060/Home/Text">  
        <input type="hidden" name="Notice" id="Notice" value="你的網站被我黑了。。" />  
        <input type="submit" value="黑掉這個網站" />  
    </form>  
</body>  
</html>

 

在這個html中加了一個隱藏的字段，Name和Id和網站要接收的參數名同樣。

我點擊了「黑掉這個網站」，呈現以下

 

這個就是利用了漏洞把首頁的公告給改了，這就是一個簡單的跨站攻擊的例子。

 

MVC中經過在頁面上使用 Html.AntiForgeryToken()配合在對應的Action上增長[ValidateAntiForgeryToken]特性來防止跨站攻擊。

把上面的代碼改爲

@using (Html.BeginForm("Text","Home",FormMethod.Post)) { @Html.AntiForgeryToken() @:網站公告:<input type="text" name="Notice" id="Notice" />  
<input type="submit" value="Submit" /> } 

 

對應的Action

 

[HttpPost] [ValidateAntiForgeryToken] public ActionResult Text() { ViewBag.Notice = Request.Form["Notice"].ToString(); return View(); } 

 

這樣子我在AntiForgeryText.html中點"黑掉這個網站"，就會出現

這樣就防止了跨站攻擊。

 

頁面上的Html.AntiForgeryToken()會給訪問者一個默認名爲__RequestVerificationToken的cookie
爲了驗證一個來自form post，還須要在目標action上增長[ValidateAntiForgeryToken]特性，它是一個驗證過濾器，
它主要檢查

(1)請求的是否包含一個約定的AntiForgery名的cookie

(2)請求是否有一個Request.Form["約定的AntiForgery名"]，約定的AntiForgery名的cookie和Request.Form值是否匹配

 

其中主要涉及到System.Web.WebPages.dll中的靜態類AntiForgery
Html.AntiForgeryToken()調用了AntiForgery靜態類的GetHtml方法，它產生一個隨機值而後分別存儲到客戶端cookie和頁面的hidden field中，

(1)Request.Cookies[antiForgeryTokenName](默認也是Request.Cookies["__RequestVerificationToken"])

(2)頁面上的hiddenfield

<input name="__RequestVerificationToken" type="hidden" value="9rUlMYvsH6eMcFN9tn/wRwAG07eROraVaeTn9hHMXKkMmDbR8jLw5DKdVnZBJ9siQHeGyl1w4rSB141LnxMp2ahV0qP1lElPeukqfcUFYoxrm/EfpSJjZavykmzn15VeGFMKkmgFj5a1UFhZFaW2aZgeN38x9lt0OFSoca7eMVU=" />

 

其中cookie的key的名字和頁面hidden field的名字是同樣的，默認都是"__RequestVerificationToken"，若是有提供ApplicationPath的話，那就是由"__RequestVerificationToken"和通過處理後的ApplicationPath組成。

 

Controller端則經過在Action上增長[ValidateAntiForgeryToken]特性來驗證，
ValidateAntiForgeryTokenAttribute繼承了FilterAttribute和IAuthorizationFilter，經過傳遞匿名委託方法，

委託調用AntiForgery類的Validate方法來實現驗證。

Validate方法中主要驗證Request.Cookies[antiForgeryTokenName]和<input name=antiForgeryTokenName ...>兩個的值是否相同，

若是頁面沒有<input name=antiForgeryTokenName ...>，或者兩個值不相等，就會拋出異常。

 

 

（二）關於CSRF攻擊及mvc中的解決方案 [ValidateAntiForgeryToken]

 

 

一.CSRF是什麼？

　　CSRF（Cross-site request forgery），中文名稱：跨站請求僞造，也被稱爲：one click attack/session riding，縮寫爲：CSRF/XSRF。

二.CSRF能夠作什麼？

　　你這能夠這麼理解CSRF攻擊：攻擊者盜用了你的身份，以你的名義發送惡意請求。CSRF可以作的事情包括：以你名義發送郵件，發消息，盜取你的帳號，甚至於購買商品，虛擬貨幣轉帳......形成的問題包括：我的隱私泄露以及財產安全。

三.CSRF漏洞現狀

　　CSRF這種攻擊方式在2000年已經被國外的安全人員提出，但在國內，直到06年纔開始被關注，08年，國內外的多個大型社區和交互網站分別爆出CSRF漏洞，如：NYTimes.com（紐約時報）、Metafilter（一個大型的BLOG網站），YouTube和百度HI......而如今，互聯網上的許多站點仍對此毫無防備，以致於安全業界稱CSRF爲「沉睡的巨人」。

四.CSRF的原理

 

 

　從上圖能夠看出，要完成一次CSRF攻擊，受害者必須依次完成兩個步驟：

　　1.登陸受信任網站A，並在本地生成Cookie。

　　2.在不登出A的狀況下，訪問危險網站B。

　　看到這裏，你也許會說：「若是我不知足以上兩個條件中的一個，我就不會受到CSRF的攻擊」。是的，確實如此，但你不能保證如下狀況不會發生：

　　1.你不能保證你登陸了一個網站後，再也不打開一個tab頁面並訪問另外的網站。

　　2.你不能保證你關閉瀏覽器了後，你本地的Cookie馬上過時，你上次的會話已經結束。（事實上，關閉瀏覽器不能結束一個會話，但大多數人都會錯誤的認爲關閉瀏覽器就等於退出登陸/結束會話了......）

　　3.上圖中所謂的攻擊網站，多是一個存在其餘漏洞的可信任的常常被人訪問的網站。

 

以上內容轉自：http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

 

具體步驟：

一、在Html表單裏面使用了@Html.AntiForgeryToken()就能夠阻止CSRF攻擊。

二、相應的咱們要在Controller中也要加入[ValidateAntiForgeryToken]過濾特性。該特性表示檢測服務器請求是否被篡改。注意：該特性只能用於post請求，get請求無效。

三、至於JS，咱們的項目中引用的是<script src="@Url.Content("~/Content/js/jqueryToken-1.4.2.js")" type="text/javascript"></script>

在JS時要使用： $.ajaxAntiForgery才行，
如：

 $.ajaxAntiForgery({ type: "post", data: { GroupName: $("#GroupName").val(), GroupPhones: $("#GroupPhones").val() }, dataType: "json", url: "/Event/Mass/AddGroup", success: function (data) { if (data) { alert("添加成功 "); $.unblockUI(); } else { alert("添加失敗 "); } } })

注：對數據進行增刪改時要防止csrf攻擊！

 

（三）BeginFormAntiForgeryPost

Orchard1.6中，Module.txt文件中的設置AntiForgery:enable及頁面中BeginFormAntiForgeryPost的做用也是同樣的，再也不贅述!

 

 

(四)參考網址

 

http://www.cnblogs.com/dragon_mail/archive/2011/07/10/2102364.html

http://blog.csdn.net/luck901229/article/details/8261640