ASP.NET WebForm中異步請(qǐng)求防止XSRF攻擊的方法

在ASP.NET MVC中微軟已經(jīng)提供了如何防止跨域攻擊的方法。對(duì)于傳統(tǒng)Webfrom中使用Handler來接受ajax的Post請(qǐng)求數(shù)據(jù)，如何來防止XSRF攻擊呢。這里給大家提供一個(gè)簡(jiǎn)單地方法，和MVC中類似。

1.首先需要在你的站點(diǎn)中安裝如下的nuget包。可以手動(dòng)復(fù)制dll。

Install-Package Microsoft.AspNet.WebPages -Version 2.0.20710

最新版本的Razor是3.0的，安裝WebPages的時(shí)候，它依賴于Razor，所以對(duì)于framework4.0的項(xiàng)目來說，無(wú)法安裝WebPages最新版本。需要安裝2.0版本。

安裝完成后，增加了如下幾個(gè)dll:

2.配置web.config，生成隱藏的token。

需要在system.web節(jié)點(diǎn)下增加如下配置：

<machineKey decryption="AES" validation="SHA1" decryptionKey="435D9CC99471D1E7C70FFEBA5EC71F28048BF9016605B82CC69B091FD317B294" validationKey="25C5D98CE093E77C2F886A6D8C6DA8FBC77CD764A1BF49E5D30CD123C5E19553"/>

配置好節(jié)點(diǎn)后，需要在.aspx頁(yè)面的后臺(tái)代碼中增加一個(gè)Token生成字段，如果有基類，那么就可以把該部分添加到基類中。

我們?cè)黾恿藢傩訲oken，然后使用AntiForgery.GetHtml()來生成一個(gè)隱藏的token。然后在頁(yè)面中綁定該Token。

<form id="form1" runat="server">
<%=Token %>
<div>

</div>
</form>

3.創(chuàng)建一個(gè)接收ajax請(qǐng)求的Handler，加入防止偽造頁(yè)面提交的代碼。

4.創(chuàng)建一個(gè)帶有Token的Ajax請(qǐng)求。

這樣就可以防止你的異步請(qǐng)求被XSRF攻擊了。

PS:對(duì)于很多站點(diǎn)，會(huì)有子域名之類的，或者是一個(gè)Cookie多個(gè)站點(diǎn)共用，就容易出現(xiàn)懂點(diǎn)技術(shù)的用戶跨站點(diǎn)去偽造請(qǐng)求。

微軟開源了.net的很多代碼，如果你想看上面的實(shí)現(xiàn)原理，那么可以去下載代碼查看。

希望對(duì)你有所幫助。

標(biāo)簽:ASPNET

總結(jié)

以上是生活随笔為你收集整理的ASP.NET WebForm中异步请求防止XSRF攻击的方法的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。