.NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造（XSRF/CSRF）攻击处理 (2)

在视图中移除FormTagHelper，您可以在Razor视图中添加以下指令移除FormTagHelper：

@removeTagHelper Microsoft.AspNetCore.Mvc.TagHelpers.FormTagHelper, Microsoft.AspNetCore.Mvc.TagHelpers

提示：
Razor页面会自动受到XSRF/CSRF的保护。您不必编写任何其他代码，有关详细信息，请参阅。

为抵御 CSRF 攻击最常用的方法是使用同步器标记模式(STP)。 当用户请求的页面包含窗体数据使用 STP:

服务器发送到客户端的当前用户的标识相关联的令牌。

客户端返回将令牌发送到服务器进行验证。

如果服务器收到与经过身份验证的用户的标识不匹配的令牌，将拒绝请求。

该令牌唯一且不可预测。 该令牌还可用于确保正确序列化的一系列的请求 (例如，确保请求序列的： 第 1 页–第 2 页–第 3 页)。所有在ASP.NET Core MVC 和 Razor 页模板中的表单都会生成 antiforgery 令牌。 以下两个视图生成防伪令牌的示例：

CSHTML复制

<form asp-controller="Manage" asp-action="ChangePassword" method="post"> ... </form> @using (Html.BeginForm("ChangePassword", "Manage")) { ... }

显式添加到防伪令牌<form>而无需使用标记帮助程序与 HTML 帮助程序元素@Html.AntiForgeryToken:

CSHTML复制

<form action="http://www.likecs.com/" method="post"> @Html.AntiForgeryToken() </form>

在每个前面的情况下，ASP.NET Core 添加类似于以下一个隐藏的表单字段：

CSHTML复制

<input type="hidden" value="CfDJ8NrAkS ... s2-m9Yw">

ASP.NET Core 包括三个筛选器来处理 antiforgery 令牌：

ValidateAntiForgeryToken

AutoValidateAntiforgeryToken

IgnoreAntiforgeryToken

防伪选项

自定义防伪选项中Startup.ConfigureServices:

C#复制

services.AddAntiforgery(options => { // Set Cookie properties using CookieBuilder properties†. options.FormFieldName = "AntiforgeryFieldname"; options.HeaderName = "X-CSRF-TOKEN-HEADERNAME"; options.SuppressXFrameOptionsHeader = false; });

†设置防伪Cookie属性使用的属性CookieBuilder类。

选项 描述
Cookie   确定用于创建防伪 cookie 的设置。  
FormFieldName   防伪系统用于呈现防伪令牌在视图中的隐藏的窗体字段的名称。  
HeaderName   防伪系统使用的标头的名称。 如果null，系统会认为只有窗体数据。  
SuppressXFrameOptionsHeader   指定是否禁止显示生成X-Frame-Options标头。 默认情况下，值为"SAMEORIGIN"生成标头。 默认为 false。  

有关详细信息，请参阅CookieAuthenticationOptions。

在我们的CMS系统中的Ajax请求就是使用的自定义HeaderName的方式进行验证的，不知道大家有没有注意到！

需要防伪验证

ValidateAntiForgeryToken实质上是一个过滤器，可应用到单个操作，控制器或全局范围内。除了具有IgnoreAntiforgeryToken属性的操作，否则所有应用了这个属性的Action都会进行防伪验证。如下所示：

C#复制

[HttpPost] [ValidateAntiForgeryToken] public async Task<IActionResult> RemoveLogin(RemoveLoginViewModel account) { ManageMessageId? message = ManageMessageId.Error; var user = await GetCurrentUserAsync(); if (user != null) { var result = await _userManager.RemoveLoginAsync( user, account.LoginProvider, account.ProviderKey); if (result.Succeeded) { await _signInManager.SignInAsync(user, isPersistent: false); message = ManageMessageId.RemoveLoginSuccess; } } return RedirectToAction(nameof(ManageLogins), new { Message = message }); }

ValidateAntiForgeryToken属性所修饰的操作方法包括 HTTP GET 都需要一个Token进行验证。 如果ValidateAntiForgeryToken特性应用于应用程序的控制器上，则可以应用IgnoreAntiforgeryToken来对它进行重载以便忽略此验证过程。

备注:ASP.NET Core 不支持自动将 antiforgery 令牌应用到GET 请求上。

ASP.NET Core MVC在Ajax中处理跨站请求伪造（XSRF/CSRF）的注意事项

ValidateAntiForgeryToken 在进行Token验证的时候Token是从Form里面取的。但是ajax中，Form里面并没有东西。那token怎么办呢？这时候我们可以把Token放在Header里面。相信看了我的源码的童鞋一定对这些不会陌生！
如下代码所示：

$.ajax({ type: 'POST', url: '/ManagerRole/AddOrModify/', data: { Id: $("#Id").val(), //主键 RoleName: $(".RoleName").val(), //角色名称 RoleType: $(".RoleType").val(), //角色类型 IsSystem: $("input[name='IsSystem']:checked").val() === "0" ? false : true, //是否系统默认 Remark: $(".Remark").val() //用户简介 }, dataType: "json", headers: { "X-CSRF-TOKEN-yilezhu": $("input[name='AntiforgeryKey_yilezhu']").val() }, success: function (res) {//res为相应体,function为回调函数 if (res.ResultCode === 0) { var alertIndex = layer.alert(res.ResultMsg, { icon: 1 }, function () { layer.closeAll("iframe"); //刷新父页面 parent.location.reload(); top.layer.close(alertIndex); }); //$("#res").click();//调用重置按钮将表单数据清空 } else if (res.ResultCode === 102) { layer.alert(res.ResultMsg, { icon: 5 }, function () { layer.closeAll("iframe"); //刷新父页面 parent.location.reload(); top.layer.close(alertIndex); }); } else { layer.alert(res.ResultMsg, { icon: 5 }); } }, error: function (XMLHttpRequest, textStatus, errorThrown) { layer.alert('操作失败！！！' + XMLHttpRequest.status + "|" + XMLHttpRequest.readyState + "|" + textStatus, { icon: 5 }); } });

如上代码所示我是先获取Token代码然后把这些代码放到ajax请求的Head里面再进行post请求即可！

开源地址

这个系列教程的源码我会开放在GitHub以及码云上，有兴趣的朋友可以下载查看！觉得不错的欢迎Star

GitHub：https://github.com/yilezhu/Czar.Cms

码云：https://gitee.com/yilezhu/Czar.Cms