【微服务】06-安全问题

文章目录

    • 1.反跨站请求伪造
      • [1.1 攻击过程](#1.1 攻击过程)
      • [1.2 攻击核心](#1.2 攻击核心)
      • [1.3 如何防御](#1.3 如何防御)
      • [1.4 使用AntiforgeryToken机制来防御用到的类](#1.4 使用AntiforgeryToken机制来防御用到的类)
    • [2. 防开发重定向共计](#2. 防开发重定向共计)
      • [2.1 攻击过程](#2.1 攻击过程)
      • [2.2 攻击核心](#2.2 攻击核心)
      • [2.3 防范措施](#2.3 防范措施)
    • 3.防跨站脚本
      • [3.1 攻击过程](#3.1 攻击过程)
      • [3.2 防范措施](#3.2 防范措施)
    • 4.跨域请求
      • [4.1 同源与跨域](#4.1 同源与跨域)
      • [4.2 CORS过程](#4.2 CORS过程)
      • [4.2 CORS是什么](#4.2 CORS是什么)
      • [4.3 CORS请求头](#4.3 CORS请求头)
      • [4.4 CORS响应头](#4.4 CORS响应头)
      • [4.5 默认支持的Expose Headers](#4.5 默认支持的Expose Headers)

1.反跨站请求伪造

1.1 攻击过程

1.2 攻击核心

  • 用户已经登录"好站点"
  • "好站点"通过Cookie存储和传递身份信息
  • 用户访问了"坏站点"

1.3 如何防御

  • 不使用Cookie来存储和传输身份信息,使用JWT认证
  • 使用AntiforgeryToken机制来防御
  • 避免使用Get作为业务操作的请求方法

浏览器每次请求都会携带Cookie,这是我们控制不了的,而Jwt的Token则需要在同域下的脚本才能发起,需要在同域下运行脚本从token的存储里面去获取的,比如localstorage这样的存储

1.4 使用AntiforgeryToken机制来防御用到的类

  • ValidateAntiForgeryToken

  • AutoValidateAntiforgeryToken

    // startup
    public void ConfigureServices(IServiceCollection services)
    {
    // 防止跨站请求伪造的策略配置
    services.AddAntiforgery(options =>
    {
    options.HeaderName = "X-CSRF-TOKEN";//
    });
    }

    // 开启全局AntiForgeryToken验证
    //services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()));

如果不希望全局开启AntiForgeryToken验证,可以在API上通过特性设置

[Authorize]
[ValidateAntiForgeryToken]//这里进行AntiForgeryToken验证
public IActionResult CreateOrder(string itemId, int count)
{
    ...
}

2. 防开发重定向共计

2.1 攻击过程

2.2 攻击核心

  • "好站点"的重定向未验证目标URL
  • 用户访问了"坏站点"

2.3 防范措施

  • 使用LocalRedirect来处理重定向
  • 验证重定向的目标域名是否合法

LocalRedirect处理的重定向仅限于本站,也就是它的重定向不能跨站,所以不会重定向到坏站点

[HttpPost]
        public async Task<IActionResult> Login([FromServices]IAntiforgery antiforgery, string name, string password, string returnUrl)
        {
            HttpContext.Response.Cookies.Append("CSRF-TOKEN", antiforgery.GetTokens(HttpContext).RequestToken, new Microsoft.AspNetCore.Http.CookieOptions { HttpOnly = false });
            var identity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);//一定要声明AuthenticationScheme
            identity.AddClaim(new Claim("Name", "小王"));
            await this.HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(identity));
            if (string.IsNullOrEmpty(returnUrl))
            {
                return Content("登录成功");
            }
            try
            {
            	// 使用LocalRedirect处理,如果出现异常,重定向到首页,避免站点跳转到外部站点
            	// 如果我们需要跳转到其它站点时,我们需要验证returnUrl合法性,然后使用Redirect进行跳转
                return LocalRedirect(returnUrl);
            }
            catch
            {
                return Redirect("/");
            }
            //return Redirect(returnUrl);
        }

3.防跨站脚本

3.1 攻击过程

3.2 防范措施

  • 对用户提交内容进行验证,拒绝恶意脚本

  • 对用户提交的内容进行编码UrlEncoder,JavaScriptEncoder

  • 慎用HtmlString和HemlHelper.Raw

  • 身份信息Cookie设置为HttpOnly

  • 避免使用Path传递带有不受信的字符,使用Query进行传递

    public void ConfigureServices(IServiceCollection services)
    {
    services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
    .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
    {
    options.LoginPath = "/home/login";
    options.Cookie.HttpOnly = true;
    });
    }

4.跨域请求

4.1 同源与跨域

  • 方案相同(HTTP/HTTPS)
  • 主机(域名)相同
  • 端口相同

如果方案、主机(域名)、端口这个三个都相同则认为两个域名是同源的,如果三者中有任意一个不同,则认为请求是跨域的

4.2 CORS过程

浏览器发起了一个请求,访问了abc.com的网站,网站给予返回响应,那么浏览器当前就处于abc.com这个主域名下。这时如果向efg.com网站发起一个http ajax请求,这时则认为这是一个跨域请求。

浏览器在发起跨域请求前会向efg.com发起一个基于HTTP option的预检请求,efg.com收到预检请求后,会根据当前预检请求的一些信息,如主域,header,身份认证信息等,去判断是否允许跨域请求;如果efg.com允许发起跨域请求,浏览器会正式地向efg.com发起我们要求的跨域请求,这时efg.com会响应正常的页面Api信息

4.2 CORS是什么

  • CORS是浏览器允许跨域发起请求"君子协定"
  • 它是浏览器行为协议
  • 它并不会让服务器拒绝其它途径发起的HTTP请求
  • 开启时需要考虑是否存在被恶意网站工具的情形

CORS影响的是浏览器是否允许在其它域下面通过脚本来发起跨域的请求

4.3 CORS请求头

  • Origin请求源 ⇒ 指的是当前主域的地址
  • Access-Control-Request-Method ⇒ 希望的请求方法
  • Access-Control-Request-Headers ⇒ 希望请求发起的请求头

4.4 CORS响应头

  • Access-Control-Allow-Origin ⇒ 是否允许跨域
  • Access-Control-Allow-Credentials ⇒ 是否允许携带认证信息,如cookie 信息
  • Access-Control-Expose-Headers ⇒ 是否允许跨域请求的脚本访问到响应头,默认情况会暴露一些默认的头部信息
  • Access-Control-Max-Age ⇒ 跨域响策略时间
  • Access-Control-Allow-Methods ⇒ 允许的Http方法
  • Access-Control-Allow-Headers ⇒ 允许的header

4.5 默认支持的Expose Headers

  • Cache-Control

  • Content-Language

  • Content-Type

  • Expires

  • Last-Modified

  • Pragma

    // startup
    public void ConfigureServices(IServiceCollection services)
    {
    services.AddCors(options =>
    {
    options.AddPolicy("api", builder =>
    {
    // WithOrigins允许跨域的源
    //AllowAnyHeader 允许发起任何header
    // AllowCredentials 允许身份认证,发起的请求会自动携带域下面的cookie信息
    // WithExposedHeaders 设置脚本允许访问的响应header列表
    builder.WithOrigins("https://localhost:5001").AllowAnyHeader().AllowCredentials().WithExposedHeaders("abc");

      		// 允许跨域的源设置为任意,
      	   builder.SetIsOriginAllowed(orgin => true).AllowCredentials().AllowAnyHeader();
            });
       });
    

    }

    // 设置中间件
    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
    ...
    app.UseCors();// 注册尽量靠前,放在routing之后
    }

    // 使用
    [Authorize]
    [HttpPost]
    [EnableCors("api")]// 也可以设置在Controller上
    //[DisableCors] //不允许跨域
    public object PostCors(string name)
    {
    return new { name = name + DateTime.Now.ToString() };
    }

相关推荐
轻口味4 分钟前
命名空间与模块化概述
开发语言·前端·javascript
WTT001135 分钟前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
晓纪同学1 小时前
QT-简单视觉框架代码
开发语言·qt
威桑1 小时前
Qt SizePolicy详解:minimum 与 minimumExpanding 的区别
开发语言·qt·扩张策略
飞飞-躺着更舒服1 小时前
【QT】实现电子飞行显示器(简易版)
开发语言·qt
明月看潮生1 小时前
青少年编程与数学 02-004 Go语言Web编程 16课题、并发编程
开发语言·青少年编程·并发编程·编程与数学·goweb
明月看潮生1 小时前
青少年编程与数学 02-004 Go语言Web编程 17课题、静态文件
开发语言·青少年编程·编程与数学·goweb
Java Fans1 小时前
C# 中串口读取问题及解决方案
开发语言·c#
盛派网络小助手1 小时前
微信 SDK 更新 Sample,NCF 文档和模板更新,更多更新日志,欢迎解锁
开发语言·人工智能·后端·架构·c#
∝请叫*我简单先生2 小时前
java如何使用poi-tl在word模板里渲染多张图片
java·后端·poi-tl