那些遇到过的问题

Angular对抗Asp.Net WebApi,在服务器上实现CSRF

dbr*_*ing 69 javascript asp.net csrf asp.net-web-api angularjs

我正在Angular.js中实现一个网站,它正在攻击ASP.NET WebAPI后端.

Angular.js具有一些内置功能,可以帮助防止csrf.在每个http请求中,它将查找名为"XSRF-TOKEN"的cookie并将其作为名为"X-XSRF-TOKEN"的标头提交.

这依赖于Web服务器能够在对用户进行身份验证之后设置XSRF-TOKEN cookie,然后检查X-XSRF-TOKEN标头以获取传入请求.

角文档状态:

要利用这一点,您的服务器需要在第一个HTTP GET请求中在名为XSRF-TOKEN的JavaScript可读会话cookie中设置令牌.在后续的非GET请求中,服务器可以验证cookie是否与X-XSRF-TOKEN HTTP标头匹配,因此请确保只有您域上运行的JavaScript才能读取令牌.令牌对于每个用户必须是唯一的,并且必须由服务器验证(以防止JavaScript组成自己的令牌).我们建议令牌是您网站的身份验证cookie的摘要,以增加安全性.

我找不到ASP.NET WebAPI的任何好例子,所以我在各种来源的帮助下推出了自己的例子.我的问题是 - 任何人都可以看到代码有什么问题吗?

首先我定义了一个简单的帮助器类:

public class CsrfTokenHelper
{
    const string ConstantSalt = "<ARandomString>";

    public string GenerateCsrfTokenFromAuthToken(string authToken)
    {
        return GenerateCookieFriendlyHash(authToken);
    }

    public bool DoesCsrfTokenMatchAuthToken(string csrfToken, string authToken) 
    {
        return csrfToken == GenerateCookieFriendlyHash(authToken);
    }

    private static string GenerateCookieFriendlyHash(string authToken)
    {
        using (var sha = SHA256.Create())
        {
            var computedHash = sha.ComputeHash(Encoding.Unicode.GetBytes(authToken + ConstantSalt));
            var cookieFriendlyHash = HttpServerUtility.UrlTokenEncode(computedHash);
            return cookieFriendlyHash;
        }
    }
}
Run Code Online (Sandbox Code Playgroud)

然后我在授权控制器中使用以下方法,并在调用FormsAuthentication.SetAuthCookie()后调用它:

    // http://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-(csrf)-attacks
    // http://docs.angularjs.org/api/ng.$http
    private void SetCsrfCookie()
    {
        var authCookie = HttpContext.Current.Response.Cookies.Get(".ASPXAUTH");
        Debug.Assert(authCookie != null, "authCookie != null");
        var csrfToken = new CsrfTokenHelper().GenerateCsrfTokenFromAuthToken(authCookie.Value);
        var csrfCookie = new HttpCookie("XSRF-TOKEN", csrfToken) {HttpOnly = false};
        HttpContext.Current.Response.Cookies.Add(csrfCookie);
    }
Run Code Online (Sandbox Code Playgroud)

然后我有一个自定义属性,我可以添加到控制器,使他们检查csrf标头:

public class CheckCsrfHeaderAttribute : AuthorizeAttribute
{
    //  http://stackoverflow.com/questions/11725988/problems-implementing-validatingantiforgerytoken-attribute-for-web-api-with-mvc
    protected override bool IsAuthorized(HttpActionContext context)
    {
        // get auth token from cookie
        var authCookie = HttpContext.Current.Request.Cookies[".ASPXAUTH"];
        if (authCookie == null) return false;
        var authToken = authCookie.Value;

        // get csrf token from header
        var csrfToken = context.Request.Headers.GetValues("X-XSRF-TOKEN").FirstOrDefault();
        if (String.IsNullOrEmpty(csrfToken)) return false;

        // Verify that csrf token was generated from auth token
        // Since the csrf token should have gone out as a cookie, only our site should have been able to get it (via javascript) and return it in a header. 
        // This proves that our site made the request.
        return new CsrfTokenHelper().DoesCsrfTokenMatchAuthToken(csrfToken, authToken);
    }
}
Run Code Online (Sandbox Code Playgroud)

最后,我在用户注销时清除Csrf令牌:

HttpContext.Current.Response.Cookies.Remove("XSRF-TOKEN");
Run Code Online (Sandbox Code Playgroud)

任何人都可以发现任何明显(或不那么明显)的问题吗?

vit*_*ore 8

你的代码似乎没问题.唯一的问题是,你不需要你拥有的大部分代码,因为web.api运行在asp.net mvc的"顶部",而后者已经内置了对防伪标记的支持.

在评论中,dbrunning和ccorrin表示担心只有在使用MVC html助手时才能使用AntiForgery令牌中的构建.这不是真的.帮助程序可以公开基于会话的令牌对,您可以相互验证这些令牌.请参阅下文了解详情.

更新:

您可以从AntiForgery中使用两种方法:

  • AntiForgery.GetTokens 使用两个输出参数来返回cookie令牌和表单令牌

  • AntiForgery.Validate(cookieToken, formToken) 验证一对令牌是否有效

您完全可以重新调整这两种方法,并将formToken用作headerToken,将cookieToken用作实际的cookieToken.然后只需在属性内调用validate.

另一个解决方案是使用JWT(检查例如MembershipReboot实现)

此链接显示如何使用带有ajax的内置防伪令牌:

<script>
    @functions{
        public string TokenHeaderValue()
        {
            string cookieToken, formToken;
            AntiForgery.GetTokens(null, out cookieToken, out formToken);
            return cookieToken + ":" + formToken;                
        }
    }

    $.ajax("api/values", {
        type: "post",
        contentType: "application/json",
        data: {  }, // JSON data goes here
        dataType: "json",
        headers: {
            'RequestVerificationToken': '@TokenHeaderValue()'
        }
    });
</script>


void ValidateRequestHeader(HttpRequestMessage request)
{
    string cookieToken = "";
    string formToken = "";

    IEnumerable<string> tokenHeaders;
    if (request.Headers.TryGetValues("RequestVerificationToken", out tokenHeaders))
    {
        string[] tokens = tokenHeaders.First().Split(':');
        if (tokens.Length == 2)
        {
            cookieToken = tokens[0].Trim();
            formToken = tokens[1].Trim();
        }
    }
    AntiForgery.Validate(cookieToken, formToken);
}
Run Code Online (Sandbox Code Playgroud)

另外看看这个问题AngularJS找不到XSRF-TOKEN cookie

  • asp.net mvc中的防伪支持依赖于使用mvc生成html,以便它可以将请求验证令牌作为隐藏字段放入HTML表单中.我没有使用mvc因此我的html表单没有那个令牌. (11认同)
  • 对于不想使用MVC进行观看的人来说,MVC助手不是一个选择.很多人希望保持客户端代码纯HTML/JS以利用多个平台,并使用诸如phonegap之类的工具.如果你的观点是剃须刀,你在这方面是有限的. (6认同)
  • @ccorrin你有我的链接吗?有ajax案例的选项,你可以使用它. (3认同)

dbr*_*ing -5

代码中没有指出任何问题,所以我认为问题已经得到解答。

归档时间:

查看次数:

14586 次

最近记录:

8 年,10 月 前
使用MVC 4 RC为Web API实现ValidatingAntiForgeryToken属性的问题 19
更多相关链接
相关归档
通过Android WebView从JavaScript调用Java函数 71
如何为Bootstrap的滚动间谍功能添加平滑滚动 65
将大型文件上传到ASP.NET MVC 59
停止标记生成器转义单引号ASP.NET MVC 2 16
<!DOCTYPE html> - 文档类型声明只能出现一次 11
Angularjs - 如何在<tr>中有条理地应用不同的类来重复指令 10
使用ModelState从WebAPI 2返回错误 8
ASP.NET Web API将http响应转换为json数组 6
如何在不重复的情况下添加与现有实体有关系的新实体?(EF 6.1) 5
为什么HttpRequestMessage如此有限? 1
难疑归档
在C#中将int转换为枚举 3015
如何使用Curl从终端/命令行发布JSON数据到测试Spring REST? 2606
如何为C#Auto-Property提供默认值? 1773
你如何改变用matplotlib绘制的数字的大小? 1726
如何仅从SQL Server DateTime数据类型返回日期 1692
如何检查Bash中是否设置了变量? 1417
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
Apache Camel究竟是什么? 1310
如何使用git merge --squash? 1101
字段和属性之间有什么区别? 1032