对于ASP.NET Core应用程序,除了提供认证和授权机制来保证服务的安全性,还需要考虑下面的一些安全因素:
CSRF
强制HTTPS
安全的HTTP Headers
ASP.NET Core通过AntiForgeryToken来阻止CSRF攻击,一般来说,当用户做表单提交的时候,表单中隐藏的token也会被提交到服务端,与此同时cookie中包含的另一半token也被提交到服务端,服务端通过合并两份token来验证客户端的数据是否有效。
例如在ASP.NET Core中通过下面的方式渲染表单:
<form asp-controller="Manage" asp-action="ChangePassword" method="post">
<!-- Form details -->
</form>
这样会生成下面的html,表单会包含一个隐藏的token
<form method="post" action="/Manage/ChangePassword">
<!-- Form details -->
<input name="__RequestVerificationToken" type="hidden" value="CfDJ8NrAkSldwD9CpLR...LongValueHere!" />
</form>
服务端的代码通过在对应的action上标记ValidateAntiForgeryToken来验证客户端的请求
public class ManageController
{
[HttpPost]
[ValidateAntiForgeryToken]
public IActionResult ChangePassword()
{
// ...
return View();
}
}
是不是每个POST请求都需要添加这样的attribute呢?
ASP.NET Core中有Filter的概念,通过添加全局Filter就能帮我们达到这样的目的:
public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc(options =>
{
options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
});
}
}
AutoValidateAntiforgeryTokenAttribute会自动忽略不需要做CSRF验证的请求类型,例如HttpGet请求。
为了让服务更加安全,你还可以强制用户使用https,你可以通过配置API网关的方式达到这个目的,也可以使用ASP.NET Core自带的特性。
使用了RequireHttpsAttribute之后,http请求将会报错。
services.Configure<MvcOptions>(options =>
{
options.Filters.Add(new RequireHttpsAttribute());
});
通过下面的方式强行跳转到https。
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
app.UseHttpsRedirection();
}
通过https://securityheaders.com/来检查HTTP Header是不是安全,例如下面的扫描结果:
NWebsec是一个用来做安全相关的ASP.NET Core类库,针对ASP.NET Core中HTTP Header相关的修复,可以添加下面的Nuget包:
NWebsec.AspNetCore.Middleware
app.UseHsts(hsts => hsts.MaxAge(365));
app.UseRedirectValidation(opts =>
{
opts.AllowSameHostRedirectsToHttps(); opts.AllowedDestinations("https://www.google.com/accounts/");
});
app.UseReferrerPolicy(opts => opts.NoReferrer());
'Content-Security-Policy': 'script-src \'self\''
<script type="text/javascript"
src="https://cdn.bootcss.com/jquery/3.3.1/jquery.js"></script>
app.UseCsp(options => options
.DefaultSources(s => s.Self())
.ScriptSources(s => s.Self().CustomSources("scripts.nwebsec.com"))
.ReportUris(r => r.Uris("/report")));
app.UseXXssProtection(options => options.EnabledWithBlockMode());
app.UseXContentTypeOptions();
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。