• .net mvc 防止 xss 与 CSRF


    CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

    CSRF攻击发生的场景:
    
           CSRF攻击依赖下面的假定:
    
      攻击者了解受害者所在的站点
    
      攻击者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie
    
      目标站点没有对用户在网站行为的第二授权
    
    Asp.net MVC 内置了对CSRF进行防御的方法如下:
    
    1.在View的Form表间中使用
    
    <%=Html.AntiForgeryToken() %>
    
    例如:
    <% using (Html.BeginForm("Login", "Admin", FormMethod.Post))
          { %>
           <%=Html.AntiForgeryToken() %>
           <%= Html.ValidationSummary(true, "登录不成功。请更正错误并重试。") %>
       <div>
           <fieldset>
               <legend>帐户信息</legend>            
               <div class="editor-label">
                   <%= Html.LabelFor(m => m.UserName) %>
               </div>
               <div class="editor-field">
                   <%= Html.TextBoxFor(m => m.UserName)%>
                   <%= Html.ValidationMessageFor(m => m.UserName)%>
                   <label id="UserNameTip"></label>
               </div>
               <div class="editor-label">
                   <%= Html.LabelFor(m => m.Password) %>
               </div>
               <div class="editor-field">
                   <%= Html.PasswordFor(m => m.Password) %>
                   <%= Html.ValidationMessageFor(m => m.Password) %>
               </div>
               <p>
                   <input type="submit" value="登录" />
               </p>
           </fieldset>
       </div>
       <% } %>
    2.d在对应的Action中用[ValidateAntiForgeryToken]进行标识:如下
    [HttpPost]
    [ValidateAntiForgeryToken]
    public ActionResult Login(Usr usr)
    {
        if (ModelState.IsValid)
        {
            var model = DB.Context.Single<Usr>(p => p.SystemUser == true && p.UserName == usr.UserName && p.Password == usr.Password);
            if (model != null)
            {
                authenticate.Login(usr.UserName, usr.Role);
                return RedirectToAction("UserList", "Admin");
            }
            else
            {
                ModelState.AddModelError("", "提供的用户名或密码不正确。");
            }
        }
        return View(usr);
    }

    以上内容转自:http://www.cnblogs.com/leleroyn/archive/2010/12/30/1921544.html

     似乎要解释清楚AntiXss.HtmlEncode和HttpUtility.HtmlEncode及Server.HtmlEncode之间具体的区别有点困难,但是它们基本都可以用来防止站点受到恶意脚本注入的攻击。按照MSDN的解释,HtmlEncode只能用来将'<''>''&'以及'"'进行转义,另外也包括编码大于0x80的ASCII码,不过这要视服务器的环境而定,不同版本的IIS转义的情况不同。例如将站点发布到IIS6和发布到IIS7上会有区别,另外如果你只是在VS上调试Web应用程序,HtmlEncode的转义情况也不同。
    
      至于什么是跨站点脚本攻击以及为什么要防止跨站点脚本攻击?大家可以参考《博客园》的这篇文章http://www.cnblogs.com/alilang/archive/2013/01/28/2879589.html
    
      有关AntiXss.dll的介绍,可以参考MSDN的这篇文章http://msdn.microsoft.com/en-us/library/aa973813.aspx
    
      考虑下面这个场景:
    
    <br />
    <img id='img<%=Server.HtmlEncode(Request.QueryString["userId"])%>' src='/image.gif' /><br />
    <br />
    An attacker could inject client-side script here by setting userId to:' onload=alert('xss') alt='<br />
      某些特定的环境下上面的HTML代码会存在注入脚本攻击的风险。例如用户在请求页面的URL后面传递这样的参数:?userId=' onload=alert(xss) alt'
    
      则页面会成功执行所注入的脚本!原因可能在于Server.HtmlEncode并不能有效过滤掉用户输入中的恶意字符,同样的情况也可能会出现在HttpUtility.HtmlEncode中。当出现这种情况的时候,考虑将其替换成AntiXss.HtmlEncode方法

    以上内容转自: http://www.cnblogs.com/jaxu/archive/2013/03/16/2962449.html

  • 相关阅读:
    [转]Java compiler level does not match解决方法
    Ubuntu使用MyEclipse闪退的解决办法
    支付宝AR红包引出Python中的PIL小试
    Neural Style学习3——操作
    Neural Style学习2——环境安装
    Neural Style学习1——简介
    mac下需要安装旧 Java SE 6 才能打开程序解决办法
    Linux system 函数的一些注意事项
    关于在android 4.2.2 上运行runlmbench
    linux kernel 字符设备详解
  • 原文地址:https://www.cnblogs.com/starluck/p/4541706.html
Copyright © 2020-2023  润新知