ASP.NET WebForm中異步請求防止XSRF攻擊的方法

在ASP.NET MVC中微軟已經提供瞭如何防止跨域攻擊的方法。對於傳統Webfrom中使用Handler來接受ajax的Post請求數據，如何來防止XSRF攻擊呢。這裏給你們提供一個簡單地方法，和MVC中相似。

 

1.首先須要在你的站點中安裝以下的nuget包。能夠手動複製dll。

Install-Package Microsoft.AspNet.WebPages -Version 2.0.20710

最新版本的Razor是3.0的，安裝WebPages的時候，它依賴於Razor，因此對於framework4.0的項目來講，沒法安裝WebPages最新版本。須要安裝2.0版本。

安裝完成後，增長了以下幾個dll:

2.配置web.config，生成隱藏的token。

須要在system.web節點下增長以下配置：

<machineKey decryption="AES" validation="SHA1" decryptionKey="435D9CC99471D1E7C70FFEBA5EC71F28048BF9016605B82CC69B091FD317B294" validationKey="25C5D98CE093E77C2F886A6D8C6DA8FBC77CD764A1BF49E5D30CD123C5E19553"/>

配置好節點後，須要在.aspx頁面的後臺代碼中增長一個Token生成字段，若是有基類，那麼就能夠把該部分添加到基類中。

咱們增長了屬性Token，而後使用AntiForgery.GetHtml()來生成一個隱藏的token。而後在頁面中綁定該Token。

<form id="form1" runat="server">
  <%=Token %>
  <div>
  
  </div>
  </form>

3.建立一個接收ajax請求的Handler，加入防止僞造頁面提交的代碼。

 

4.建立一個帶有Token的Ajax請求。

 

這樣就能夠防止你的異步請求被XSRF攻擊了。

PS:對於不少站點，會有子域名之類的，或者是一個Cookie多個站點共用，就容易出現懂點技術的用戶跨站點去僞造請求。

微軟開源了.net的不少代碼，若是你想看上面的實現原理，那麼能夠去下載 代碼查看。

 

但願對你有所幫助。