针对 CSRF 漏洞的防范 [c#,html,webform,mvc,,app api]

最近帮别人“擦屁股”，做了全局CSRF漏洞修复，针对各种表单，作如下分享(html 为通用方法)：

#############################

1.webform

这种情况只需加载一个DLL（Idunno.AntiCsrf.dll），配置web.config即可。

 
   
   
 
  
  
//iis6
	
		
	
  //iis7
  
  
  

另外一种方法，自己看链接去: http://www.cnblogs.com/luminji/archive/2012/06/08/2511384.html

#############################

2.mvc

基本思路是利用Token解决，这里只提供思路

前台页面（cshtml）：@Html.AntiForgeryToken()

后台（Controllers）：[ValidateAntiForgeryToken]

（详细看别人的链接去：http://my.oschina.net/wzzz/blog/118712 ）

按照这个微软提供的Token并不能解决问题，发现每次如果抓报文后，依然可以进行二次请求。因Token的验证机制是页面生成时，临时生成一个隐藏域及value值，和一个cookie，提交表单后根据（Request.Form["__RequestVerificationToken"]及cookie值进行计算对比），然而每次请求后微软自带Token未销毁，或者说，仅针对客户端参数做了验证。

解决办法：

protected override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            var httpCookie = Request.Cookies["__RequestVerificationToken_Lw__"];
            if (httpCookie != null)
            {
                string cookieRVT = httpCookie.Value;
                string rvt = Request.Form["__RequestVerificationToken"];
                if (!string.IsNullOrEmpty(rvt))
                {
                    if (this.HttpContext.Session["cookieRVT"] != null && this.HttpContext.Session["rvt"] != null)
                    {
                        string temp1 = (string) this.HttpContext.Session["cookieRVT"];
                        string temp2 = (string)this.HttpContext.Session["rvt"];
                        if (cookieRVT == temp1 && rvt == temp2)
                            filterContext.Result = new RedirectResult("/Node/page");
                    }
                }
            }
        }

        protected override void OnActionExecuted(ActionExecutedContext filterContext)
        {
            var httpCookie = Request.Cookies["__RequestVerificationToken_Lw__"];
            if (httpCookie != null)
            {
                 string cookieRVT = httpCookie.Value;
                string rvt = Request.Form["__RequestVerificationToken"];
                if (!string.IsNullOrEmpty(rvt) && !string.IsNullOrEmpty(cookieRVT))
                {
                    this.HttpContext.Session["cookieRVT"] = cookieRVT;
                    this.HttpContext.Session["rvt"] = rvt;
                }

            }       

         }

#############################

3.html

抛个思路吧，类似上面的cookie及 post 参数验证， 加载页面的同时 web端给定两个值，cookie及异步填充到隐藏域的值（token表示吧），服务器端给定两个session存储cookie，token。注意的是这两个值是 通过同一个字符串不同的加密方式生成的。提交数据的时候需要提交隐藏域的值，在服务器获取cookie 及token做解密或者加密，只要验证这两个参数是由同一个字符串加密生成的就ok，有且仅当验证通过，并且cookie，token不等于session存储值，则视为合法请求，把获取的值赋值给session；否则视为非法请求，直接pass请求。

#############################

4.app 接口

看了下百度对于app应用，csrf防范，有了基本思路

nonce	string	防范CSRF攻击的安全认证参数。在轻应用服务器端生成的随机串，长度小于32。
csrftoken	string	防范CSRF攻击的安全认证参数。在轻应用服务器端按照如下规则生成：md5(nonce + 轻应用的Secret Key)

思路：用户登陆成功后返回一个轻应用的Secret Key（也就意味着每次登陆Secret Key都不一样，服务器端存session），app每次请求之前请求一次安全认证参数（可逆加密，服务器端存session），就拿百度的参数nonce来举例吧，发送请求的时候带参数csrftoken，服务器端验证，通过后执行请求并修改掉nonce及secret key的session值。