那些遇到过的问题

防止PUT和删除请求ASP.NET Web API的CSRF攻击

Bri*_*rij 2 security asp.net-mvc csrf asp.net-web-api

ValidateAntiForgeryToken是否适用于PUT和删除请求,或仅适用于ASP.NET Web API中的发布请求?如果没有,最安全的方法是什么?

Hon*_*Sun 5

Anti CSRF通常通过匹配来自cookie和body的令牌来完成,以在非ajax调用中验证请求,如浏览器表单帖子.

在ajax调用中,建议在自定义标头中放置一个标记.如果您安装了最新的ASP.NET 2012.2更新.它在MVC项目对话框中有一个spa模板,演示了如何在SPA应用程序中阻止CSRF.以下是从模板复制的代码,用于从服务器端验证标头令牌.

public class ValidateHttpAntiForgeryTokenAttribute : AuthorizationFilterAttribute
{
    public override void OnAuthorization(HttpActionContext actionContext)
    {
        HttpRequestMessage request = actionContext.ControllerContext.Request;

        try
        {
            if (IsAjaxRequest(request))
            {
                ValidateRequestHeader(request);
            }
            else
            {
                AntiForgery.Validate();
            }
        }
        catch (HttpAntiForgeryException e)
        {
            actionContext.Response = request.CreateErrorResponse(HttpStatusCode.Forbidden, e);
        }
    }

    private bool IsAjaxRequest(HttpRequestMessage request)
    {
        IEnumerable<string> xRequestedWithHeaders;
        if (request.Headers.TryGetValues("X-Requested-With", out xRequestedWithHeaders))
        {
            string headerValue = xRequestedWithHeaders.FirstOrDefault();
            if (!String.IsNullOrEmpty(headerValue))
            {
                return String.Equals(headerValue, "XMLHttpRequest", StringComparison.OrdinalIgnoreCase);
            }
        }

        return false;
    }

    private void ValidateRequestHeader(HttpRequestMessage request)
    {
        string cookieToken = String.Empty;
        string formToken = String.Empty;

        IEnumerable<string> tokenHeaders;
        if (request.Headers.TryGetValues("RequestVerificationToken", out tokenHeaders))
        {
            string tokenValue = tokenHeaders.FirstOrDefault();
            if (!String.IsNullOrEmpty(tokenValue))
            {
                string[] tokens = tokenValue.Split(':');
                if (tokens.Length == 2)
                {
                    cookieToken = tokens[0].Trim();
                    formToken = tokens[1].Trim();
                }
            }
        }

        AntiForgery.Validate(cookieToken, formToken);
    }
}
Run Code Online (Sandbox Code Playgroud)

从客户端,您还需要在ajax调用中设置标头.这是来自todo.datacontext.js的代码:

function ajaxRequest(type, url, data, dataType) { // Ajax helper
    var options = {
        dataType: dataType || "json",
        contentType: "application/json",
        cache: false,
        type: type,
        data: data ? data.toJson() : null
    };
    var antiForgeryToken = $("#antiForgeryToken").val();
    if (antiForgeryToken) {
        options.headers = {
            'RequestVerificationToken': antiForgeryToken
        }
    }
    return $.ajax(url, options);
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1831 次

最近记录:

10 年,7 月 前
相关归档
是否可以使用Entity Framework Code First设置唯一约束? 39
ASP.NET Web API跨请求缓存操作筛选器属性 14
具有MVC站点的某些要求的细化权限 8
backbone.js的安全性? 6
防止XSS攻击 5
将查询字符串值绑定到字典 5
无需等待结果即可从Web API调用另一个Web API 5
JwtSecurityTokenHandler 4.0.0突破性变化? 3
适用于表单身份验证的IIS 6配置 2
如何在没有管理访问权限的情况下将证书添加到 Cacerts 文件? 2
难疑归档
如何用JavaScript更改元素的类? 2650
将字符串转换为datetime 2035
使用JavaScript/jQuery滚动到页面顶部? 1511
如何在不注销并重新登录的情况下重新加载.bashrc? 1510
如何将包含历史记录的SVN存储库迁移到新的Git存储库? 1486
计算C#中的相对时间 1461
在调用instanceof之前需要进行空检查吗? 1287
如何使用CSS设置<select>下拉列表的样式? 1258
如何让jQuery执行同步而非异步的Ajax请求? 1173
如何向给定元素添加类? 1109