ASP.NET WebForm中異步請求防止XSRF攻擊的方法


在ASP.NET MVC中微軟已經提供了如何防止跨域攻擊的方法。對於傳統Webfrom中使用Handler來接受ajax的Post請求數據,如何來防止XSRF攻擊呢。這里給大家提供一個簡單地方法,和MVC中類似。

 

1.首先需要在你的站點中安裝如下的nuget包。可以手動復制dll。

Install-Package Microsoft.AspNet.WebPages -Version 2.0.20710

最新版本的Razor是3.0的,安裝WebPages的時候,它依賴於Razor,所以對於framework4.0的項目來說,無法安裝WebPages最新版本。需要安裝2.0版本。

安裝完成后,增加了如下幾個dll:

image

2.配置web.config,生成隱藏的token。

需要在system.web節點下增加如下配置:

<machineKey decryption="AES" validation="SHA1" decryptionKey="435D9CC99471D1E7C70FFEBA5EC71F28048BF9016605B82CC69B091FD317B294" validationKey="25C5D98CE093E77C2F886A6D8C6DA8FBC77CD764A1BF49E5D30CD123C5E19553"/>

配置好節點后,需要在.aspx頁面的后台代碼中增加一個Token生成字段,如果有基類,那么就可以把該部分添加到基類中。

image

我們增加了屬性Token,然后使用AntiForgery.GetHtml()來生成一個隱藏的token。然后在頁面中綁定該Token。

<form id="form1" runat="server">
  <%=Token %>
  <div>
  
  </div>
  </form>

3.創建一個接收ajax請求的Handler,加入防止偽造頁面提交的代碼。

image

 

4.創建一個帶有Token的Ajax請求。

image

 

這樣就可以防止你的異步請求被XSRF攻擊了。

PS:對於很多站點,會有子域名之類的,或者是一個Cookie多個站點共用,就容易出現懂點技術的用戶跨站點去偽造請求。

微軟開源了.net的很多代碼,如果你想看上面的實現原理,那么可以去下載 代碼查看。

image

 

希望對你有所幫助。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM