防范CSRF

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防范CSRF相关的知识,希望对你有一定的参考价值。

CSRF是跨网站伪造请求的缩写。大致的攻击流程是,黑客获得浏览器向服务器发送的请求,然后对请求进行修改,让服务器执行指定的操作。

防范方式可以使用微软提供的解决方案。

View放置html.AntiForgeryToken();后端在需要接收验证的方法上面打上特性标签[ValidateAntiForgeryToken]即可。

示例如下:

View代码:

<div>
防范CSRF攻击说明
<p>前端加上@Html.AntiForgeryToken();后端加上[ValidateAntiForgeryToken]</p>
@using (Html.BeginForm("Test", "Home", FormMethod.Post, new { @class = "form-horizontal", role = "form" }))
{
  @Html.AntiForgeryToken();
  <div>
    <input type="text" name="textValue" class="form-control" value="" />
  </div>
  <div>
    <input type="submit" value="测试" class="btn btn-primary" />
  </div>
}
</div>

Controller代码:

[ValidateAntiForgeryToken]
public ActionResult Test()
{
  return null;
}

原理:

在用户进入页面的时候,会产生一份名为_RequestVerificationToken的cookie,内容是经过编码的信息,发送请求时,先检查这个cookie中的这个信息是否存在,然后才去检查其余内容是否正确,如果正确才会放行。

 

以上是关于防范CSRF的主要内容,如果未能解决你的问题,请参考以下文章

一张图laravel - 防范CSRF攻击

CSRF攻击及防范

csrf攻击与防范

CSRF的攻击与防范

安全百科之CSRF漏洞形成与防范

CSRF及防范