12

在这里,我有两个表单帖子的简单 MVC3 应用程序。为了保护 CSRF 攻击,我按照此处的指导以两种形式使用了 antiforgerytoken html 助手。

这是我的两个模型:

public class User
{
    public string FirstName { get; set; }
    public string LastName { get; set; }
}


public class Employee
{
    public int Id { get; set; }
    public string Name { get; set; }
}

这是我的 homeController.cs:

public class HomeController : Controller
{
    public ActionResult Index()
    {
        return View();
    }

    [HttpPost]
    [ValidateAntiForgeryToken]
    public ActionResult Index(User user)
    {
        if (ModelState.IsValid)
            return RedirectToAction("About");

        return View();
    }

    public ActionResult About()
    {
        return View();
    }

    [HttpPost]
    [ValidateAntiForgeryToken]
    public ActionResult About(Employee employee)
    {
        if (ModelState.IsValid)
            return RedirectToAction("PageA");

        return View();
    }
}

这是我的 Inex.cshtml:

@model MvcAntiforgeryToken.Models.User

@using (Html.BeginForm()) {

@Html.AntiForgeryToken()
<div>
    <fieldset>
        <legend>User Information</legend>

        <div class="editor-label">
            @Html.LabelFor(m => m.FirstName)
        </div>
        <div class="editor-field">
            @Html.TextBoxFor(m => m.FirstName)
            @Html.ValidationMessageFor(m => m.FirstName)
        </div>

        <div class="editor-label">
            @Html.LabelFor(m => m.LastName)
        </div>
        <div class="editor-field">
            @Html.PasswordFor(m => m.LastName)
            @Html.ValidationMessageFor(m => m.LastName)
        </div>
        <p>
            <input type="submit" value="Save" />
        </p>
    </fieldset>
</div>

}

这是我的 About.cshtml:

@model MvcAntiforgeryToken.Models.Employee

@using (Html.BeginForm()) {

@Html.AntiForgeryToken()
<div>
    <fieldset>
        <legend>Employee Information</legend>

        <div class="editor-label">
            @Html.LabelFor(m => m.Id)
        </div>
        <div class="editor-field">
            @Html.TextBoxFor(m => m.Id)
            @Html.ValidationMessageFor(m => m.Id)
        </div>

        <div class="editor-label">
            @Html.LabelFor(m => m.Name)
        </div>
        <div class="editor-field">
            @Html.PasswordFor(m => m.Name)
            @Html.ValidationMessageFor(m => m.Name)
        </div>
        <p>
            <input type="submit" value="Save" />
        </p>
    </fieldset>
</div>

}

主页/索引的发布:

当用户访问主页/索引,应用程序创建的“ RequestVerificationToken_Lw具有值”饼干“PG2 / E00Q2DngYxs98f92x9qqrIvrh6zCT / + GGte67NFZLazKFlz ++ QqMSHpkZ08Qum9vsBCtq7O7MSzCawJkEa2 / hdjrWoAcHlDWxxYRWKXm + OxPbqlRs609zam4fK7hReGEX3zf8YR4ltH3oYf4AZgt2mZV31ihRGShiZ7Oy9k =”

并遵循隐藏的表单输入 

<input name="__RequestVerificationToken" type="hidden" value="B1KKzYEFEdINnuhy53MqqxHCHELPUd5pX3vRqYWz1+pkhBA6YGFvSVtXgSURkAn3yNwee3nrqDCMXB8MB0SWiUU3GuHnhH7+Qc1IQebJHoFJZR2CPXNOmUzINXbBWKZz+35pQQQXdiKptR3raLSoElfQi18ZC4Pr7xNREGIOM2A=" />

发布主页/关于:

当用户访问首页/公司,应用程序创建“ RequestVerificationToken_Lw与价值的” cookie “PG2 / E00Q2DngYxs98f92x9qqrIvrh6zCT / + GGte67NFZLazKFlz ++ QqMSHpkZ08Qum9vsBCtq7O7MSzCawJkEa2 / hdjrWoAcHlDWxxYRWKXm + OxPbqlRs609zam4fK7hReGEX3zf8YR4ltH3oYf4AZgt2mZV31ihRGShiZ7Oy9k =”

并遵循表单输入

<input name="__RequestVerificationToken" type="hidden" value="UOCMATdy93A0230aBmRPv5F0xpJlI2urE5sJ4nxsTSWrsi9/xM5qhrxQ4I2vWIjvVrhkW8gSgmGFp7c4XPQUQG5myMGipTAr2/mi5od+Sz6IcfrF2FxwjfWMslt96BcMG6b9BjaGbgnClQOVTkjfHEMIptOYUCTSbVK61dWp5qI=" />

这是我的问题:

  1. 为什么两种形式的“ RequestVerificationToken_Lw ”cookie 值相同?不应该为每个表单帖子重新创建它吗?

  2. 为什么“ RequestVerificationToken_Lw ”cookie 值和“__RequestVerificationToken”隐藏输入值不同?

非常感谢您的回复!

4

2 回答 2

17

CSRF 攻击向量的想法是这样的:我在我的网站https://fake-domain-that-looks-like-a-bank.com上提出了一个恶意表格。我从您的网站上获取了 HTML 和 CSS,所以看起来完全一样。我有一个有效的证书和所有的标志花里胡哨。现在我诱骗用户访问我的网站。

用户看到通常的形式并做一些事情。但是,我替换了一些输入,因此它们无处可去,并且我添加了一些隐藏字段,以便我控制用户(非自愿)执行的操作,例如替换'op=modifyop=delete. 他的所有行为都由他的(有效的)身份验证 cookie 支持。

现在防伪令牌可以保护用户,因为作为攻击者,我无法将与他的 cookie 匹配的有效隐藏字段添加到我的表单中。如果我能以某种方式读取他的 cookie,我可以简单地窃取身份验证令牌,这会容易得多。

在 MVC 中,防伪令牌与登录用户名绑定。如果您正在使用FormsAuthentication并更改用户名的结构,所有具有现有 cookie 的用户都会遇到麻烦。附带说明:一个常见的问题是维护两个帐户的用户会遇到AntiForgeryTokenExceptions,如果这是一个有效的使用场景,您可能需要处理它。

要解决实际问题:

为什么cookie不改变

如果 cookie 值随着每个请求而改变,多标签浏览将是一个问题。

为什么 cookie 和表单值不同

MVC 的 cookie 具有内部结构,因此它们的序列化版本看起来不同。内部的实际安全令牌应该是相同的。序列化程序存储不同的信息,具体取决于存在的信息(用户身份名称等)。还有一个版本字节,指示这是否是会话 cookie 等。

坚韧不拔的细节

如果您想了解更多信息,我建议您通过http://aspnetwebstack.codeplex.com/克隆源代码并查看System.Web.WebPages\Helpers\AntiXsrf\TokenValidator.cs以及其他文件。无论如何,拥有源代码是非常有帮助的。

于 2013-02-04T16:32:46.010 回答
0

我没有明确的想法,但我认为“RequestVerificationToken_Lw”应该有一个值,它将通过一个会话。它不会为每种形式创造新的价值。

于 2013-01-22T08:25:39.183 回答