在ASP.NET MVC中微軟已經提供了如何防止跨域攻擊的方法。對於傳統Webfrom中使用Handler來接受ajax的Post請求數據,如何來防止XSRF攻擊呢。這里給大家提供一個簡單地方法,和MVC中類似。
1.首先需要在你的站點中安裝如下的nuget包。可以手動復制dll。
Install-Package Microsoft.AspNet.WebPages -Version 2.0.20710
最新版本的Razor是3.0的,安裝WebPages的時候,它依賴於Razor,所以對於framework4.0的項目來說,無法安裝WebPages最新版本。需要安裝2.0版本。
安裝完成后,增加了如下幾個dll:
2.配置web.config,生成隱藏的token。
需要在system.web節點下增加如下配置:
<machineKey decryption="AES" validation="SHA1" decryptionKey="435D9CC99471D1E7C70FFEBA5EC71F28048BF9016605B82CC69B091FD317B294" validationKey="25C5D98CE093E77C2F886A6D8C6DA8FBC77CD764A1BF49E5D30CD123C5E19553"/>
配置好節點后,需要在.aspx頁面的后台代碼中增加一個Token生成字段,如果有基類,那么就可以把該部分添加到基類中。
我們增加了屬性Token,然后使用AntiForgery.GetHtml()來生成一個隱藏的token。然后在頁面中綁定該Token。
<form id="form1" runat="server">
<%=Token %>
<div>
</div>
</form>
3.創建一個接收ajax請求的Handler,加入防止偽造頁面提交的代碼。
4.創建一個帶有Token的Ajax請求。
這樣就可以防止你的異步請求被XSRF攻擊了。
PS:對於很多站點,會有子域名之類的,或者是一個Cookie多個站點共用,就容易出現懂點技術的用戶跨站點去偽造請求。
微軟開源了.net的很多代碼,如果你想看上面的實現原理,那么可以去下載 代碼查看。
希望對你有所幫助。