当前位置：首页 > article >正文

.NET Core 中预防跨网站请求伪造 (XSRFCSRF) 攻击

article 2025/9/5 2:15:01

.NET Core 中预防跨网站请求伪造 (XSRF/CSRF) 攻击

在如今的网络环境中，安全问题一直是开发者们不可忽视的重要方面。跨网站请求伪造（Cross-Site Request Forgery，简称 CSRF）就是一种常见且具有威胁性的网络攻击方式。攻击者通过伪造用户请求，来执行未授权的操作，可能会给用户和网站带来严重的损失。在 ASP.NET Core 应用程序里，预防 CSRF 攻击是一项至关重要的安全措施。下面，我们就来详细探讨一下在 .NET Core 中预防 CSRF 攻击的方法。

1. 启用 AntiForgery 中间件

ASP.NET Core 为我们内置了 AntiForgery 中间件，它的主要作用是生成和验证 CSRF 令牌。要使用这个中间件，我们需要在 Startup.cs 文件里进行相应的配置。

配置服务

在 ConfigureServices 方法中，添加 AddAntiforgery 服务，同时可以对其进行一些配置，比如设置 Cookie 名称和请求头名称：

public void ConfigureServices(IServiceCollection services)
{services.AddAntiforgery(options =>{// 配置选项，例如 Cookie 名称options.HeaderName = "X-XSRF-TOKEN";options.CookieName = "XSRF-TOKEN";});// 其他服务配置...
}

添加到请求处理管道

在 Configure 方法中，将 AntiForgery 中间件添加到请求处理管道中：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{// 其他中间件配置...app.UseAntiforgery();// 其他中间件配置...
}

启用这个中间件后，我们就为预防 CSRF 攻击迈出了重要的一步。它可以帮助我们生成和管理 CSRF 令牌，为后续的验证工作打下基础。

2. 生成 Antiforgery 令牌

在视图（例如 Razor 视图）中，我们需要生成 Antiforgery 令牌并将其添加到表单中。这样，在表单提交时，令牌会一同被发送到服务器进行验证。

@page
@model YourNamespace.YourPageModel
@inject Microsoft.AspNetCore.Antiforgery.IAntiforgery Antiforgery
@{var requestToken = Antiforgery.GetAndStoreTokens(Context).RequestToken;
}<form method="post"><input type="hidden" name="__RequestVerificationToken" value="@requestToken" /><!-- 表单其他字段 --><button type="submit">提交</button>
</form>

这里，我们通过 Antiforgery.GetAndStoreTokens 方法获取请求令牌，并将其添加到表单的隐藏字段中。@Html.AntiForgeryToken() 也可以实现同样的功能，它会生成一个包含 antiforgery 令牌的隐藏字段。生成令牌的目的是确保请求是来自合法的用户，而不是攻击者伪造的。

3. 使用 AJAX 请求

对于使用 AJAX 进行的请求，我们需要手动设置 XSRF-TOKEN 头。在 JavaScript 中，我们可以从 cookie 中读取令牌，并将其作为请求头的一部分发送。

fetch('/api/your-endpoint', {method: 'POST',headers: {'Content-Type': 'application/json','X-XSRF-TOKEN': $('input[name="__RequestVerificationToken"]').val()},body: JSON.stringify(data)
})
.then(response => response.json())
.then(data => console.log(data))
.catch((error) => {console.error('Error:', error);
});

在实际开发中，很多应用都会使用 AJAX 来实现异步交互。手动设置 XSRF-TOKEN 头可以确保 AJAX 请求也能得到有效的 CSRF 防护。

4. 验证 Antiforgery 令牌

在控制器中，我们使用 [ValidateAntiForgeryToken] 属性来验证传入的请求是否包含有效的 antiforgery 令牌。

[HttpPost]
[ValidateAntiForgeryToken]
public IActionResult SubmitForm(MyModel model)
{// 处理表单数据...return RedirectToAction("Index");
}

如果请求不包含有效的 antiforgery 令牌，[ValidateAntiForgeryToken] 属性会让 ASP.NET Core 返回一个 400 错误（Bad Request）。这一步是整个 CSRF 防护机制的关键，通过验证令牌，我们可以确保请求的合法性。

5. 额外安全措施

除了使用 AntiForgery 中间件，我们还可以采取一些额外的安全措施来进一步预防 CSRF 攻击：

使用 HTTPS 协议：HTTPS 可以保护网站和 API，确保传输的数据在网络中是加密的，防止数据在传输过程中被窃取或篡改。
限制端点：限制哪些端点可以接受跨站点的 POST 请求，减少攻击面。只允许必要的端点接受跨站点请求，可以降低被攻击的风险。
设置 Cookie 标志：使用 HTTP-only 和 Secure 标志设置 CSRF Cookie，防止 JavaScript 访问该 Cookie，并确保它只能通过 HTTPS 传输。这样可以避免攻击者通过 JavaScript 脚本获取 Cookie 信息。

总之，在 .NET Core 中预防 CSRF 攻击需要我们综合运用多种方法。启用中间件、生成和验证令牌、处理 AJAX 请求以及采取额外的安全措施，这些步骤相互配合，才能构建一个安全可靠的应用程序。开发者们应该时刻关注安全问题，不断完善和优化应用的安全机制，为用户提供一个安全的使用环境。

.NET Core 中预防跨网站请求伪造 (XSRFCSRF) 攻击