ASP.NET Core 知识速递 - Day 8：每天进步一点

文摘 2024-10-21 08:21 日本

这节我们讲解一下反伪造令牌，它是ASP.NET Core中的一项安全技术，用于防止跨站伪造请求(CSRF)攻击。在展开这个话题之前我们首先介绍一下什么是CSRF。

跨站请求伪造（CSRF）是一种针对托管在 Web 上的应用程序的攻击，恶意应用程序(通常指Web)可以影响客户端浏览器与信任该浏览器的Web 应用之间的交互。之所以有这种攻击，是因为 Web 浏览器会自动将用户身份验证令牌与每次发送给网站的请求一起打包发送。由于这种攻击利用了用户已认证的会话，它也被称为“一键攻击”或“会话骑乘”。跨站请求伪造也被称为 XSRF 或 CSRF。

例子：

1. 用户登录www.good-banking-site.example.com网站，服务器对用户进行身份验证并返回包含身份验证 Cookie 的响应。该站点容易受到攻击，因为它信任任何带有有效身份验证 Cookie 的请求。

2. 用户无访问了恶意站点：www.bad-crook-site.example.com.恶意站点包含了如下代码：

<h1>Congratulations! You're a Winner!</h1><form action="https://good-banking-site.com/api/account" method="post">    <input type="hidden" name="Transaction" value="withdraw" />    <input type="hidden" name="Amount" value="1000000" />    <input type="submit" value="Click to collect your prize!" /></form>

注意这个恶意站点的action是指向安全站点的地址，用户点击Submit提交按钮。

3. 用户点击提交时，浏览器包含自动包含认证的cookie请求正常站点

4. 该请求在 www.good-banking-site.example.com 服务器上运行，使用用户的身份验证上下文，并可以执行任何经过身份验证的用户被允许执行的操作。

CSRF 攻击之所以可能发生在使用 Cookie 进行身份验证的 Web 应用中，是因为：

1. 浏览器存储由 Web 应用程序生成的Cookie。

2. 存储的Cookie 包括经过身份验证用户的会话 Cookie。

3. 浏览器在每次请求中都会将与域相关的所有 Cookie 发送到 Web 应用程序，无论该请求是在浏览器内如何生成的，这应该是浏览器的锅。

为了防止CSRF攻击，服务器会生成一个反伪造Token。这正是APS.NET Core AntiForgery的实现原理。

using Microsoft.AspNetCore.Antiforgery;
var builder = WebApplication.CreateBuilder();
builder.Services.AddAntiforgery(options =>{    options.Cookie.Name = "AntiForgery";    options.Cookie.Domain = "localhost";    options.Cookie.Path = "/";    options.FormFieldName = "Antiforgery";    options.Cookie.SecurePolicy = CookieSecurePolicy.SameAsRequest;});
var app = builder.Build();
//These are the four default services available at Configureapp.Run(async context =>{    var antiForgery = context.RequestServices.GetService<IAntiforgery>();    if (HttpMethods.IsPost(context.Request.Method))    {        await antiForgery.ValidateRequestAsync(context);        await context.Response.WriteAsync("Response validated with anti forgery");        return;    }
    var token = antiForgery.GetAndStoreTokens(context);
    context.Response.Headers.Append("Content-Type", "text/html");    await context.Response.WriteAsync($@"    <html>    <body>        View source to see the generated anti forgery token        <form method=""post"">            <input type=""hidden"" name=""{token.FormFieldName}"" value=""{token.RequestToken}"" />            <input type=""submit"" value=""Push""/>        </form>    </body>    </html>       ");});
app.Run();

上面代码中:

1. 当用户加载包含表单的页面时，服务器会生成一个随机的反伪造令牌（AntiForgery Token）。这个令牌是唯一的，通常是通过加密算法生成，并与用户的会话相关联，反伪造令牌会被包含在生成的 HTML 中，作为一个隐藏字段。

2. 每当用户提交表单时，该令牌会随着表单数据一起发送到服务器。当用户提交表单时，ASP.NET Core 会自动验证提交的数据中是否包含有效的反伪造令牌。

[ValidateAntiForgeryToken] 特性，除了使用上面方法之外，还可以使用该特性在Action上进行验证。

源代码地址：

https://github.com/bingbing-gui/AspNetCore-Skill/tree/master/src/aspnetcore-knowledge-point/anti-forgery

http://mp.weixin.qq.com/s?__biz=MzA3NDM1MzIyMQ==&mid=2247488534&idx=1&sn=b38bed9d9fc43552704173695c90d526

桂迹

分享原创，记录痕迹！

最新文章

ASP.NET Core 知识速递 - Day 9：HTTP响应顺序，先头后尾

.NET9里WinForm更新了什么

SemanticKernel系列，AI系列，SmartFill介绍视频系列

更流畅的asp.net api的错误返回

用.srt字幕文件生成.wav语音

自制实时翻译小工具

ASP.NET Core 知识速递 - Day 8：每天进步一点

Semantic Kernel：图片向量化

ASP.NET Core 知识速递 - Day 7：每天进步一点

ASP.NET Core 知识速递 - Day 6：每天进步一点

Semantic Kernel：Plugins

Semantic Kernel：Function Calling

ASP.NET Core 知识速递 - Day 5：每天进步一点

ASP.NET Core 知识速递 - Day 4：每天进步一点

ASP.NET Core 知识速递 - Day 3：每天进步一点

Semantic Kernel：SK中的Function

Semantic Kernel：使用PostgreSQL作为向量化库

.NET9让指标更纯正

ASP.NET Core 知识速递 - Day 2：每天进步一点

Semantic Kernel:Agent代理

ASP.NET Core 知识速递 - Day 1：每天进步一点

将Azure Open AI集成到应用程序中

Semantic Kernel:文转图

使用Azure OpenAI服务创建聊天会话

提升邮件发送效率：必备的 ASP.NET Core 邮件发送库推荐

Semantic Kernel:图识文

C#13：params和正则源生成器

提升ASP.NET Core应用性能：使用YARP反向代理的最佳实践

Semantic Kernel:用Embedding做客服（RAG）

GraphRAG：知识图普RAG

【Smart Fill】自家AI智能辅助录入工具

Semantic Kernel:Chat聊天服务

推荐几款C#生成QR的库

Semantic Kernel:Service内置服务

Asp.Net Core Identity API endpoints

扩展NLog加密日志

Semantic Kernel：Kernel内核

HybridCache 混合缓存

Semantic Kernel概览

让.NET9中的OpenAPI有脸面

.NET9 中不一样的OpenAPI

一篇文章带你全面解析Linq架构

Smart Component 为你的.NET应用赋予AI能力

让传统应用开发融合AI能力

Microsoft AI Day in Begijing

我的生成式AI应用——智能输入(SmartFill)

SemanticKernel之LLama3案例

自动化构建三剑客：msbuild、cake和nuke

发掘几款亮眼的C#压缩库，帮你轻松优化数据处理

介绍几款C#定时任务处理库，让您任务管理更轻松

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉