CSRF:與XSS不同,CSRF利用的當前信任用戶�,讓用戶不知不覺的“自己提交”數據。例如用戶 B 在用戶 A 的文章評論區域上傳一張圖片�,如:
[img]http://images2015.VEVb.com/blog/798800/201512/798800-20151230205214839-1087717627.jpg[/img]
然后把它改成:
[img]http://Another/Forgery.html[/img]
這是一張無效的圖片,并且來自于另一個站點�。在 Forgery.html 中,偽造者創建一個表單�,action指向要攻擊的頁面,當window.onload 執行時自動提交表單�。
那么用戶 A 在訪問該頁面時,就會發起請求到Another/Forgery.html�。由于Web的身份驗證信息通常會保存在瀏覽器cookie中,而cookie每次都會隨請求提交到服務器�,所以這個請求會把cookie 和 Forgery.html 的表單信息一起提交到服務器�。服務器對Cookie進行相關驗證,并且認為這是一個正常的請求�,執行相關操作�。
2. 模擬一次攻擊
按照上面的思路�,接下來我們模擬一次攻擊。新建一個mvc項目�,主要有兩個頁面,一個頁面用于顯示用戶姓名和評論�,另一個頁面用于用戶自己修改姓名�。只是為了演示,這里我們固定一個用戶:張三�。如:
public class CurrentUser { PRivate static CurrentUser currentUser = new CurrentUser(){Name="張三"}; public string Name{get;set;} public static CurrentUser Current { get { return currentUser; } } } 顯示頁面為:
本站點的另一個頁面用于修改用戶姓名:
<div> 修改用戶信息: </div> <form action="/home/update" method="post"> <p> <label>用戶名:</label> <input name="name" /> </p> <p> <input type="submit" /> </p> </form>
對應Action為Update,為了提高安全性�,我們給它標記一個[HttpPost]特性(實際情況這里會進行身份驗證,然后根據用戶id去修改信息)�。如:
[HttpPost] public ActionResult Update(string name) { CurrentUser.Current.Name = name; return RedirectToAction("Index"); } 可以看到上面的評論區域有一個鏈接,來自另一個站點�,它的代碼很簡單,與我們的修改頁面類似�,如下:
<body> <div> <form id="form" action="http://localhost:50025/home/update" method="post"> <input type="hidden" name="name" value="2b" /> </form> </div></body><script type="text/javascript"> window.onload = function () { document.getElementById("form").submit(); }</script> 可以看到�,該頁面表達的action指向了前面的站點的修改頁面�,并且在頁面load完后,就會自動提交�。當張三點擊這個鏈接后�,會發生什么呢?如下:
3. 如何防止
3.1 盡早防范
永遠不要相信用戶提交的數據�。通常我們會在前臺和后臺對用戶的輸入進行驗證,確保數據的正確性和安全性�。以上面的例子,如果用戶上傳一張圖片�,然后修改成.html的格式,那么應該不讓它保存�。我們可以看博客園的例子�,如果這樣做,可以保存�,但顯示出來就是普通文本的格式,這樣頁面加載時就不會對這個url發起請求�。再看csdn,則會彈出提示非法輸入�。
VEVb: 
csdn: 
當然,這樣只是第一道屏障�。很多網站也可能像上面可以輸入外部鏈接�,如果用戶去點擊,依然可能被攻擊�。所以我們還需要進一步防范。
3.2 MVC 的做法
前面我們模擬了CSRF的過程�,接下看MVC里如何應對這種情況。
ValidateAntiForgeryAttribute特性
這是一個繼承了FilterAttribute 和 實現了 IActionFilter 的標記特性�,它可以應用在Controller或者Action上面�。我們知道實現IActionFilter的 Filter會在 Action執行前進行相關處理,具體邏輯在 IActionFilter接口的 OnAuthorization 方法中�。MVC 就是在這個方法中進行驗證的。具體是如何驗證的呢�?
AntiForgeryToken方法
ValidateAntiForgery特性表示操作需要驗證,我們還需要使用HtmlHelper的 AntiForgeryToken方法�,這是一個實例方法。具體是在View的表單里調用該方法�,該方法會生成一個name為__RequestVerificationToken的 input hidden標簽,值就是防偽令牌�。除此之外�,還會生成一個同樣名稱并且標記為HttpOnly的cookie�,值也是通過加密生成的防偽令牌。ValidateAntiForgery特性的OnAuthorization方法就是根據這兩個進行驗證的�。具體是:
1. 用戶請求該頁面�,AntiForgeryToken方法會生成一個input hidden 和 cookie,值都是經過加密處理的Token�。
2. 用戶提交請求,如果Action(Controller)標記了 ValidateAntiForgery特性�,則進行驗證。
2.1 如果表單沒有一個name為 __RequestVerificationToken的元素�,則拋出HttpAntiForgeryException�。
2.2 如果沒有一個name為__RequestVerificationToken的cookie,則拋出HttpAntiForgeryException�。
2.3 解析input 和 cookie 的值,判斷是否匹配(包括用戶名�、時間等的比較)�,不匹配則拋出HttpAntiForgeryException。
3. 接收到異常�,顯示錯誤頁或拋出黃頁。
至于 input 的值 和 cookie 的生成�,mvc內部會根據當前用戶名�,時間以及集合 MachineKey 等去加密生成�,確保不會輕易被猜出�。有興趣的朋友可以通過源碼了解詳細過程。
按照上面的做法�,我們給Update加上一個[ValidateAntiForgery]特性,并且在表單調用HtmlHelper的AntiForgeryToken方法�。此時如果用戶點擊鏈接,一樣訪問了Forgery.html�,并且自動提交表單�,cookie還是一樣會提交,但偽造頁面無法知道input hidden 的值�,所以無法通過驗證。
3.3 WebForm 的做法
WebForm 沒有 AntiForgeryToken方法 可以直接使用�,不過知道MVC的實現過程后,我們也可以自己實現一套�。
在頁面表單,像mvc一樣�,我們也輸出一個名稱為:_RequestVerificationToken 的 input hidden 標簽,值為序列化后的Token�,具體是調用 HttpRespose 的擴展方法AntiForgeryToken�。AntiForgeryToken方法不僅會輸入input hidden,還會將Guid存儲在Context.Item�,這是一個在一次請求內各個時期可以使用的集合,在頁面周期完成后�,我們判斷是否有這個標記,如果有�,還需要將它寫入到Cookie當中。
表單:
<form id="Form1" action="UpdateAntiCsrf.aspx" method="post" runat="server"> <div> <%=Response.AntiForgeryToken() %> <input type="text" name="name"/> <input type="submit"/> </div> </form>
AntiForgeryToken擴展方法:
public static class HttpResposeExtentions { public static string AntiForgeryToken(this HttpResponse response) { HttpContext context = HttpContext.Current; if (context == null) { throw new InvalidOperationException("無效請求�!"); } Guid guid = Guid.NewGuid(); context.Items["_RequestVerificationToken"] = guid; ObjectStateFormatter formatter = new ObjectStateFormatter(); return string.Format("<input type='hidden' name='_RequestVerificationToken' value={0} />", formatter.Serialize(guid)); } } 對于驗證Token�,和將GUID寫入到Cookie是通過一個AntiCsrfModule完成的,它主要攔截頁面執行前和執行后兩個事件�。頁面執行后完成上面是否需要將GUID寫入Cookie的判斷,而頁面執行前則判斷是否需要驗證�,以及驗證結果,一旦不匹配�,就拋出異常。代碼如下:
public class AntiCsrfModule : IHttpModule { public void Dispose () { } public void Init(Httpapplication app) { app.PreRequestHandlerExecute += new EventHandler(app_PreRequestHandlerExecute); app.PostRequestHandlerExecute += new EventHandler(app_PostRequestHandlerExecute); } void app_PreRequestHandlerExecute(object sender, EventArgs e) { HttpContext context = ((HttpApplication)sender).Context; HttpRequest request = context.Request; IHttpHandler handler = context.Handler; if (handler.GetType().IsDefined(typeof(ValidationAntiForgeryAttribute), true)) { if (request.HttpMethod.Equals("POST", StringComparison.CurrentCultureIgnoreCase)) { HttpCookie cookie = request.Cookies["_RequestVerificationToken"]; if (cookie == null) { throw new InvalidOperationException("無效請求�!"); } string value = request.Form["_RequestVerificationToken"]; if (string.IsNullOrEmpty(value)) { throw new InvalidOperationException("無效請求!"); } ObjectStateFormatter formatter = new ObjectStateFormatter(); Guid? guid = formatter.Deserialize(value) as Guid?; if(guid.HasValue && guid.Value.ToString() == cookie.Value) { return; } throw new InvalidOperationException("無效請求�!"); } } } void app_PostRequestHandlerExecute(object sender, EventArgs e) { HttpContext context = ((HttpApplication)sender).Context; Guid? guid = context.Items["_RequestVerificationToken"] as Guid?; if (guid.HasValue) { HttpCookie cookie = new HttpCookie("_RequestVerificationToken", guid.Value.ToString()); cookie.HttpOnly = false; context.Response.Cookies.Add(cookie); } } } 對于需要驗證的頁面,通過一個ValidateAntiForgeryAttribute特性標記�,如下:
public class ValidateAntiForgeryAttribute : Attribute { } 同樣,我們像前面一樣模擬一次攻擊�。結果如我們所想,會拋出黃頁�。
3.4 Ajax 方式
上面我們都是通過Post 表單的形式提交數據,如果是以ajax提交的呢?我們可以在后臺判斷請求是否是Ajax請求�,如果不是則不允許操作�。因為js受同源策略限制,另一個域在沒有被授權的情況下�,腳本是無法和本域進行通信的。也就是Another/Forgery.html可以以post的形式提交數據到我們后臺�,但沒辦法以ajax的形式提交,也沒辦法調用我們頁面的方法或者訪問dom元素�。
4. 博客園的實現
例子就在身邊。我們看到博客園【設置基本資料】模塊�,查看源碼就會發現這里用用到了這個技術。
表單:
Cookie:
