一.CSRF是什么?
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。它跟XSS(XSS又叫CSS:Cross-Site-Script)攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击,攻击者能使用登陆用户的权限做一些该用户权限范围内的事。
CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别 爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而 现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
二.CSRF的原理
下图简单阐述了CSRF攻击的思想:
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,确实如此,但你不能保证以下情况不会发生:
1.你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站。
2.你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了......)
3.上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站。
三、.Net MVC中提供的防跨CSRF攻击的方法
一个简单的栗子:
我们在登陆了网站A时,没有退出的情况下点击链接访问了网站B的如下页面(同源和不同源都可以,但是攻击者使用ajax则会受到同源限制),那么Id为1的账号就会被改掉密码和用户名,完成了简单的盗号。为什么 /Admins/UserInfo/EditUserInfo 只有登陆用户能够访问和操作,而攻击者没有用户的账号密码也完成了修改用户信息呢?这是因为网站A只通过Cookie(Session也是基于Cookie的)来记住用户。当发起一个对网站A的请求时,浏览器只负责找到网站A的Cookie,把Cookie一并发给网站A的服务器,服务器根据Cookie的SessionId获取用户信息,顺利验证成功,就有修改用户密码的权限了。
@{ ViewBag.Title = "DoSomeSthingBad"; } <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.js"></script> <h2>你中招了哦~</h2> <form action="http://localhost:1911/Admins/UserInfo/EditUserInfo" method="post"> <input type="text" name="Id" value="1" /> <input type="text" name="UserName" value="testhk" /> <input type="text" name="Account" value="testhk" /> <input type="text" name="UserPass" value="456456" /> <button id="attack" type="submit">修改管理员</button> </form> <script> var attact = document.querySelector('#attack'); attack.click(); </script>
在.net mvc中防CSRF攻击十分简单步骤如下:
第一步:在form表单中添加 : @Html.AntiForgeryToken()
Html.AntiForgeryToken()方法会在input和Cookie中分别生成一个名为__RequestVerificationToken的token
第二步:在后台对应的Action上边加 [ValidateAntiForgeryToken]
这是一个验证过滤器,调用AntiForgery类的Validate方法,判断上边的两个token是否一致(不是相等),一致则通过。
第三步:把token发送到服务器
我们直接使用表单的submit时,会自动的将name为__RequestVerificationToken的input中的值直接提交,几乎不用添加任何操作,不再展示。下边时用普通ajax请求时将token发送到后台的方式:
var __RequestVerificationToken = $("input[name='__RequestVerificationToken']").val(); //layui中的用法,普通ajax中在ajax的data中新增一个字段即可 //如$.post(url,{Id:1,__RequestVerificationToken:__RequestVerificationToken},funtion(){..}) data.field.__RequestVerificationToken = __RequestVerificationToken; $.post('@Url.Action("EditUserInfo")', data.field, function (result) { if (result.IsSuccess === 1) { layer.msg(result.Msg, { icon: 1, time: 1000 }, function () { parent.layer.close(index); parent.layui.table.reload('testReload'); //重载表格 }); } else { layer.msg(result.Msg, {icon:2}); } });
参考文献:
1.https://www.cnblogs.com/soundcode/p/4884260.html