MVC Html.AntiForgeryToken() 防止CSRF攻擊

時間 2019-11-09

標籤 mvc html.antiforgerytoken html antiforgerytoken 防止 csrf 攻擊欄目 HTML 简体版

原文原文鏈接

（一）MVC Html.AntiForgeryToken() 防止CSRF攻擊html

MVC中的Html.AntiForgeryToken()是用來防止跨站請求僞造(CSRF:Cross-site request forgery)攻擊的一個措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻擊不一樣,XSS通常是利用站內信任的用戶在網站內插入惡意的腳本代碼進行攻擊，而CSRF則是僞形成受信任用戶對網站進行攻擊。cookie

舉個簡單例子，譬如整個系統的公告在網站首頁顯示，而這個公告是從後臺提交的，我用最簡單的寫法：post

網站後臺(Home/Index頁面)設置首頁公告內容，提交到HomeController的Text Action網站

@using (Html.BeginForm("Text","Home",FormMethod.Post))  
{  
    @:網站公告:<input type="text" name="Notice" id="Notice" />  
    <input type="submit" value="Submit" />  
}

HomeController的Text Actionspa

[HttpPost]  
 public ActionResult Text()  
 {  
     ViewBag.Notice = Request.Form["Notice"].ToString();  
     return View();  
 }

填寫完公告，提交，顯示code

此時提供給了跨站攻擊的漏洞，CSRF通常依賴幾個條件orm

(1)攻擊者瞭解受害者所在的站點xml

(2)攻擊者的目標站點具備持久化受權cookie或者受害者具備當前會話cookiehtm

(3)目標站點沒有對用戶在網站行爲的第二受權此時blog

具體參見http://baike.baidu.com/view/1609487.htm

現假設我知道我要攻擊的網站的地址，譬如是http://localhost:6060/Home/Text,且也知足2，3的狀況。

因而我新建一個AntiForgeryText.html文件，內容以下：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
<html xmlns="http://www.w3.org/1999/xhtml" >  
<head>  
    <title></title>  
</head>  
<body>  
    <form name="badform" method="post" action="http://localhost:6060/Home/Text">  
        <input type="hidden" name="Notice" id="Notice" value="你的網站被我黑了。。" />  
        <input type="submit" value="黑掉這個網站" />  
    </form>  
</body>  
</html>

在這個html中加了一個隱藏的字段，Name和Id和網站要接收的參數名同樣。

我點擊了「黑掉這個網站」，呈現以下

這個就是利用了漏洞把首頁的公告給改了，這就是一個簡單的跨站攻擊的例子。

MVC中經過在頁面上使用 Html.AntiForgeryToken()配合在對應的Action上增長[ValidateAntiForgeryToken]特性來防止跨站攻擊。

把上面的代碼改爲

@using (Html.BeginForm("Text","Home",FormMethod.Post))  
{  
    @Html.AntiForgeryToken()  
    @:網站公告:<input type="text" name="Notice" id="Notice" />  
<input type="submit" value="Submit" />  
}

對應的Action

[HttpPost]  
[ValidateAntiForgeryToken]  
public ActionResult Text()  
{  
    ViewBag.Notice = Request.Form["Notice"].ToString();  
    return View();  
}

這樣子我在AntiForgeryText.html中點"黑掉這個網站"，就會出現

這樣就防止了跨站攻擊。

頁面上的Html.AntiForgeryToken()會給訪問者一個默認名爲__RequestVerificationToken的cookie
爲了驗證一個來自form post，還須要在目標action上增長[ValidateAntiForgeryToken]特性，它是一個驗證過濾器，
它主要檢查

(1)請求的是否包含一個約定的AntiForgery名的cookie

(2)請求是否有一個Request.Form["約定的AntiForgery名"]，約定的AntiForgery名的cookie和Request.Form值是否匹配

其中主要涉及到System.Web.WebPages.dll中的靜態類AntiForgery
Html.AntiForgeryToken()調用了AntiForgery靜態類的GetHtml方法，它產生一個隨機值而後分別存儲到客戶端cookie和頁面的hidden field中，

(1)Request.Cookies[antiForgeryTokenName](默認也是Request.Cookies["__RequestVerificationToken"])

(2)頁面上的hiddenfield

<input name="__RequestVerificationToken" type="hidden" value="9rUlMYvsH6eMcFN9tn/wRwAG07eROraVaeTn9hHMXKkMmDbR8jLw5DKdVnZBJ9siQHeGyl1w4rSB141LnxMp2ahV0qP1lElPeukqfcUFYoxrm/EfpSJjZavykmzn15VeGFMKkmgFj5a1UFhZFaW2aZgeN38x9lt0OFSoca7eMVU=" />

其中cookie的key的名字和頁面hidden field的名字是同樣的，默認都是"__RequestVerificationToken"，若是有提供ApplicationPath的話，那就是由"__RequestVerificationToken"和通過處理後的ApplicationPath組成。

Controller端則經過在Action上增長[ValidateAntiForgeryToken]特性來驗證，
ValidateAntiForgeryTokenAttribute繼承了FilterAttribute和IAuthorizationFilter，經過傳遞匿名委託方法，

委託調用AntiForgery類的Validate方法來實現驗證。

Validate方法中主要驗證Request.Cookies[antiForgeryTokenName]和<input name=antiForgeryTokenName ...>兩個的值是否相同，

若是頁面沒有<input name=antiForgeryTokenName ...>，或者兩個值不相等，就會拋出異常。