CSRF:與XSS不同�����,CSRF利用的當前信任用戶���,讓用戶不知不覺的“自己提交”數據��。例如用戶 B 在用戶 A 的文章評論區域上傳一張圖片�����,如:
[img]http://images2015.VEVb.com/blog/798800/201512/798800-20151230205214839-1087717627.jpg[/img]
然后把它改成:
[img]http://Another/Forgery.html[/img]
這是一張無效的圖片�,并且來自于另一個站點�。在 Forgery.html 中,偽造者創建一個表單�����,action指向要攻擊的頁面����,當window.onload 執行時自動提交表單。
那么用戶 A 在訪問該頁面時�,就會發起請求到Another/Forgery.html。由于Web的身份驗證信息通常會保存在瀏覽器cookie中���,而cookie每次都會隨請求提交到服務器�����,所以這個請求會把cookie 和 Forgery.html 的表單信息一起提交到服務器����。服務器對Cookie進行相關驗證�,并且認為這是一個正常的請求,執行相關操作��。
2. 模擬一次攻擊
按照上面的思路�����,接下來我們模擬一次攻擊���。新建一個mvc項目�,主要有兩個頁面,一個頁面用于顯示用戶姓名和評論��,另一個頁面用于用戶自己修改姓名�。只是為了演示,這里我們固定一個用戶:張三�。如:
public class CurrentUser { PRivate static CurrentUser currentUser = new CurrentUser(){Name="張三"}; public string Name{get;set;} public static CurrentUser Current { get { return currentUser; } } } 顯示頁面為:
本站點的另一個頁面用于修改用戶姓名:
<div> 修改用戶信息: </div> <form action="/home/update" method="post"> <p> <label>用戶名:</label> <input name="name" /> </p> <p> <input type="submit" /> </p> </form>
對應Action為Update,為了提高安全性��,我們給它標記一個[HttpPost]特性(實際情況這里會進行身份驗證�����,然后根據用戶id去修改信息)�。如:
[HttpPost] public ActionResult Update(string name) { CurrentUser.Current.Name = name; return RedirectToAction("Index"); } 可以看到上面的評論區域有一個鏈接,來自另一個站點����,它的代碼很簡單,與我們的修改頁面類似���,如下:
<body> <div> <form id="form" action="http://localhost:50025/home/update" method="post"> <input type="hidden" name="name" value="2b" /> </form> </div></body><script type="text/javascript"> window.onload = function () { document.getElementById("form").submit(); }</script> 可以看到��,該頁面表達的action指向了前面的站點的修改頁面���,并且在頁面load完后��,就會自動提交。當張三點擊這個鏈接后�����,會發生什么呢�?如下:
3. 如何防止
3.1 盡早防范
永遠不要相信用戶提交的數據。通常我們會在前臺和后臺對用戶的輸入進行驗證�,確保數據的正確性和安全性。以上面的例子���,如果用戶上傳一張圖片���,然后修改成.html的格式,那么應該不讓它保存�����。我們可以看博客園的例子�,如果這樣做,可以保存�����,但顯示出來就是普通文本的格式,這樣頁面加載時就不會對這個url發起請求�。再看csdn,則會彈出提示非法輸入��。
VEVb: 
csdn: 
當然��,這樣只是第一道屏障���。很多網站也可能像上面可以輸入外部鏈接����,如果用戶去點擊�,依然可能被攻擊。所以我們還需要進一步防范���。
3.2 MVC 的做法
前面我們模擬了CSRF的過程�,接下看MVC里如何應對這種情況��。
ValidateAntiForgeryAttribute特性
這是一個繼承了FilterAttribute 和 實現了 IActionFilter 的標記特性����,它可以應用在Controller或者Action上面。我們知道實現IActionFilter的 Filter會在 Action執行前進行相關處理��,具體邏輯在 IActionFilter接口的 OnAuthorization 方法中。MVC 就是在這個方法中進行驗證的�。具體是如何驗證的呢?
AntiForgeryToken方法
ValidateAntiForgery特性表示操作需要驗證�����,我們還需要使用HtmlHelper的 AntiForgeryToken方法�,這是一個實例方法����。具體是在View的表單里調用該方法,該方法會生成一個name為__RequestVerificationToken的 input hidden標簽���,值就是防偽令牌���。除此之外,還會生成一個同樣名稱并且標記為HttpOnly的cookie�����,值也是通過加密生成的防偽令牌�����。ValidateAntiForgery特性的OnAuthorization方法就是根據這兩個進行驗證的。具體是:
1. 用戶請求該頁面�����,AntiForgeryToken方法會生成一個input hidden 和 cookie��,值都是經過加密處理的Token���。
2. 用戶提交請求��,如果Action(Controller)標記了 ValidateAntiForgery特性��,則進行驗證���。
2.1 如果表單沒有一個name為 __RequestVerificationToken的元素,則拋出HttpAntiForgeryException�。
2.2 如果沒有一個name為__RequestVerificationToken的cookie,則拋出HttpAntiForgeryException����。
2.3 解析input 和 cookie 的值,判斷是否匹配(包括用戶名����、時間等的比較)��,不匹配則拋出HttpAntiForgeryException��。
3. 接收到異常����,顯示錯誤頁或拋出黃頁��。
至于 input 的值 和 cookie 的生成��,mvc內部會根據當前用戶名����,時間以及集合 MachineKey 等去加密生成�����,確保不會輕易被猜出���。有興趣的朋友可以通過源碼了解詳細過程��。
按照上面的做法��,我們給Update加上一個[ValidateAntiForgery]特性�,并且在表單調用HtmlHelper的AntiForgeryToken方法。此時如果用戶點擊鏈接���,一樣訪問了Forgery.html���,并且自動提交表單,cookie還是一樣會提交�����,但偽造頁面無法知道input hidden 的值�,所以無法通過驗證。
3.3 WebForm 的做法
WebForm 沒有 AntiForgeryToken方法 可以直接使用�,不過知道MVC的實現過程后,我們也可以自己實現一套���。
在頁面表單��,像mvc一樣�,我們也輸出一個名稱為:_RequestVerificationToken 的 input hidden 標簽����,值為序列化后的Token,具體是調用 HttpRespose 的擴展方法AntiForgeryToken。AntiForgeryToken方法不僅會輸入input hidden��,還會將Guid存儲在Context.Item���,這是一個在一次請求內各個時期可以使用的集合���,在頁面周期完成后,我們判斷是否有這個標記����,如果有,還需要將它寫入到Cookie當中����。
表單:
<form id="Form1" action="UpdateAntiCsrf.aspx" method="post" runat="server"> <div> <%=Response.AntiForgeryToken() %> <input type="text" name="name"/> <input type="submit"/> </div> </form>
AntiForgeryToken擴展方法:
public static class HttpResposeExtentions { public static string AntiForgeryToken(this HttpResponse response) { HttpContext context = HttpContext.Current; if (context == null) { throw new InvalidOperationException("無效請求�!"); } Guid guid = Guid.NewGuid(); context.Items["_RequestVerificationToken"] = guid; ObjectStateFormatter formatter = new ObjectStateFormatter(); return string.Format("<input type='hidden' name='_RequestVerificationToken' value={0} />", formatter.Serialize(guid)); } } 對于驗證Token,和將GUID寫入到Cookie是通過一個AntiCsrfModule完成的�,它主要攔截頁面執行前和執行后兩個事件。頁面執行后完成上面是否需要將GUID寫入Cookie的判斷��,而頁面執行前則判斷是否需要驗證�,以及驗證結果,一旦不匹配�����,就拋出異常。代碼如下:
public class AntiCsrfModule : IHttpModule { public void Dispose () { } public void Init(Httpapplication app) { app.PreRequestHandlerExecute += new EventHandler(app_PreRequestHandlerExecute); app.PostRequestHandlerExecute += new EventHandler(app_PostRequestHandlerExecute); } void app_PreRequestHandlerExecute(object sender, EventArgs e) { HttpContext context = ((HttpApplication)sender).Context; HttpRequest request = context.Request; IHttpHandler handler = context.Handler; if (handler.GetType().IsDefined(typeof(ValidationAntiForgeryAttribute), true)) { if (request.HttpMethod.Equals("POST", StringComparison.CurrentCultureIgnoreCase)) { HttpCookie cookie = request.Cookies["_RequestVerificationToken"]; if (cookie == null) { throw new InvalidOperationException("無效請求��!"); } string value = request.Form["_RequestVerificationToken"]; if (string.IsNullOrEmpty(value)) { throw new InvalidOperationException("無效請求��!"); } ObjectStateFormatter formatter = new ObjectStateFormatter(); Guid? guid = formatter.Deserialize(value) as Guid?; if(guid.HasValue && guid.Value.ToString() == cookie.Value) { return; } throw new InvalidOperationException("無效請求�����!"); } } } void app_PostRequestHandlerExecute(object sender, EventArgs e) { HttpContext context = ((HttpApplication)sender).Context; Guid? guid = context.Items["_RequestVerificationToken"] as Guid?; if (guid.HasValue) { HttpCookie cookie = new HttpCookie("_RequestVerificationToken", guid.Value.ToString()); cookie.HttpOnly = false; context.Response.Cookies.Add(cookie); } } } 對于需要驗證的頁面��,通過一個ValidateAntiForgeryAttribute特性標記�,如下:
public class ValidateAntiForgeryAttribute : Attribute { } 同樣,我們像前面一樣模擬一次攻擊�。結果如我們所想,會拋出黃頁���。
3.4 Ajax 方式
上面我們都是通過Post 表單的形式提交數據���,如果是以ajax提交的呢?我們可以在后臺判斷請求是否是Ajax請求�,如果不是則不允許操作。因為js受同源策略限制��,另一個域在沒有被授權的情況下,腳本是無法和本域進行通信的���。也就是Another/Forgery.html可以以post的形式提交數據到我們后臺�,但沒辦法以ajax的形式提交���,也沒辦法調用我們頁面的方法或者訪問dom元素�����。
4. 博客園的實現
例子就在身邊�����。我們看到博客園【設置基本資料】模塊�����,查看源碼就會發現這里用用到了這個技術。
表單:
Cookie:
