CSRF(Cross-site request forgery跨站請求偽造,也被稱成為“one click attack”或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。
CSRF攻擊發生的場景: CSRF攻擊依賴下面的假定: 攻擊者了解受害者所在的站點 攻擊者的目標站點具有持久化授權cookie或者受害者具有當前會話cookie 目標站點沒有對用戶在網站行為的第二授權 Asp.net MVC 內置了對CSRF進行防御的方法如下: 1.在View的Form表間中使用 <%=Html.AntiForgeryToken() %> 例如: <% using (Html.BeginForm("Login", "Admin", FormMethod.Post)) { %> <%=Html.AntiForgeryToken() %> <%= Html.ValidationSummary(true, "登錄不成功。請更正錯誤並重試。") %> <div> <fieldset> <legend>帳戶信息</legend> <div class="editor-label"> <%= Html.LabelFor(m => m.UserName) %> </div> <div class="editor-field"> <%= Html.TextBoxFor(m => m.UserName)%> <%= Html.ValidationMessageFor(m => m.UserName)%> <label id="UserNameTip"></label> </div> <div class="editor-label"> <%= Html.LabelFor(m => m.Password) %> </div> <div class="editor-field"> <%= Html.PasswordFor(m => m.Password) %> <%= Html.ValidationMessageFor(m => m.Password) %> </div> <p> <input type="submit" value="登錄" /> </p> </fieldset> </div> <% } %> 2.d在對應的Action中用[ValidateAntiForgeryToken]進行標識:如下 [HttpPost] [ValidateAntiForgeryToken] public ActionResult Login(Usr usr) { if (ModelState.IsValid) { var model = DB.Context.Single<Usr>(p => p.SystemUser == true && p.UserName == usr.UserName && p.Password == usr.Password); if (model != null) { authenticate.Login(usr.UserName, usr.Role); return RedirectToAction("UserList", "Admin"); } else { ModelState.AddModelError("", "提供的用戶名或密碼不正確。"); } } return View(usr); }
以上內容轉自:http://www.cnblogs.com/leleroyn/archive/2010/12/30/1921544.html
似乎要解釋清楚AntiXss.HtmlEncode和HttpUtility.HtmlEncode及Server.HtmlEncode之間具體的區別有點困難,但是它們基本都可以用來防止站點受到惡意腳本注入的攻擊。按照MSDN的解釋,HtmlEncode只能用來將'<','>','&'以及'"'進行轉義,另外也包括編碼大於0x80的ASCII碼,不過這要視服務器的環境而定,不同版本的IIS轉義的情況不同。例如將站點發布到IIS6和發布到IIS7上會有區別,另外如果你只是在VS上調試Web應用程序,HtmlEncode的轉義情況也不同。 至於什么是跨站點腳本攻擊以及為什么要防止跨站點腳本攻擊?大家可以參考《博客園》的這篇文章http://www.cnblogs.com/alilang/archive/2013/01/28/2879589.html 有關AntiXss.dll的介紹,可以參考MSDN的這篇文章http://msdn.microsoft.com/en-us/library/aa973813.aspx 考慮下面這個場景: <br /> <img id='img<%=Server.HtmlEncode(Request.QueryString["userId"])%>' src='/image.gif' /><br /> <br /> An attacker could inject client-side script here by setting userId to:' onload=alert('xss') alt='<br /> 某些特定的環境下上面的HTML代碼會存在注入腳本攻擊的風險。例如用戶在請求頁面的URL后面傳遞這樣的參數:?userId=' onload=alert(xss) alt' 則頁面會成功執行所注入的腳本!原因可能在於Server.HtmlEncode並不能有效過濾掉用戶輸入中的惡意字符,同樣的情況也可能會出現在HttpUtility.HtmlEncode中。當出現這種情況的時候,考慮將其替換成AntiXss.HtmlEncode方法
以上內容轉自: http://www.cnblogs.com/jaxu/archive/2013/03/16/2962449.html