个人中心
gpt4 book ai didi

c# - 防伪 token 可重复使用

转载 作者:可可西里 更新时间:2023-11-01 07:58:42 41 4
gpt4 key购买 nike

我们使用 ASP.NET MVC 的默认防伪技术。最近一家安全公司对表格进行了扫描,并注意到他们可以多次使用相同的 _RequestVerificationToken 组合(cookie + 隐藏字段)。或者他们是怎么说的:“正文中的 CSRF token 在服务器端进行了验证,但即使在服务器端使用后也不会被撤销生成一个新的 CSRF token 。”

在阅读了关于防伪实现的文档和多篇文章后,我的理解是,只要 session 用户与 token 中的用户匹配,这确实是可能的。

他们的部分建议:“这样的代币应该在至少,每个用户 session 都是唯一的”据我了解,情况已经如此,除了匿名用户,对吗?

我的问题:这是一个安全问题吗?风险有多大?是否有确保 token 不可重用/无效的库。

如果没有,在 session 中包含一个额外的随机 token ,该 token 将在每次请求时重置,听起来可以解决问题。

最佳答案

客户最终同意 ASP.NET 的 Antiforgery 实现就足够了。只是为了好玩,我想扩展 Antiforgery 以满足失效要求。

Antiforgery 库有一个扩展点:IAntiforgeryAdditionalDataProvider ( Core ) 和 IAntiForgeryAdditionalDataProvider ( pre-Core )

在 ASP.NET MVC(pre-Core)中,您可以在启动时设置它。

using System.Web;
using System.Web.Helpers;
// ...

namespace AntiForgeryStrategiesPreCore
{
    public class MvcApplication : HttpApplication
    {
        protected void Application_Start()
        {
            // ...
            AntiForgeryConfig.AdditionalDataProvider = new MyAdditionalDataProvider();
        }
    }
}

对于 ASP.NET Core,您需要将 IAntiforgeryAdditionalDataProvider 注册为服务。如果您不这样做,它将使用什么都不做的 DefaultAntiforgeryAdditionalDataProvider ( source )。

using System;
using Microsoft.AspNetCore.Antiforgery;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Extensions.Logging;

namespace AntiForgeryStrategiesCore
{
    // ...

    public class Startup
    {
        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            services.AddSingleton<IAntiforgeryAdditionalDataProvider, SingleTokenAntiforgeryAdditionalDataProvider>();
            // ...
        }
    }

    // ...
}

现在您可以将额外的数据添加到您的防伪 token 中,这些数据将被加密到您的 cookie 和表单字段中。下面是一个 MVC Core 示例,它在 Session 中保留单个 token ,并在使用后将其删除。

using Microsoft.AspNetCore.Antiforgery;
using Microsoft.AspNetCore.Http;

namespace AntiForgeryStrategiesCore
{
    public class SingleTokenAntiforgeryAdditionalDataProvider : IAntiforgeryAdditionalDataProvider
    {
        private const string TokenKey = "SingleTokenKey";

        public string GetAdditionalData(HttpContext context)
        {
            var token = TokenGenerator.GetRandomToken();
            context.Session.SetString(TokenKey, token);
            return token;
        }

        public bool ValidateAdditionalData(HttpContext context, string additionalData)
        {
            var token = context.Session.GetString(TokenKey);
            context.Session.Remove(TokenKey);
            return token == additionalData;
        }
    }
}

不推荐这样做,因为当您打开包含多个表单的多个选项卡时,只有一个表单在 session 中具有有效 token ,而另一个表单将失败。这就是为什么我做了一个持有多个 token 的原因。您可以在 GitHub 上找到 AdditionalDataProvider 和其他人(基于时间,基于队列)。

关于c# - 防伪 token 可重复使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44246487/

41 4 0
文章推荐: android - OkHttpClient 2.0 上的缓存问题
文章推荐: c# - 错误 APPX3212 : SDK root folder for 'Portable 7.0' cannot be located
文章推荐: android - 错误 : WatchActivity cannot be resolved to a type, 为什么我得到这个?
文章推荐: mysql - 如何在低规范系统的大表上提高 MySQL 性能?
可可西里
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com