使用双提交 Cookie 在 ASP.NET MVC 中实现 XSRF 安全性的想法

Question

我决定尝试使用双重提交的cookie技术来尝试阻止对我正在工作的网站的 XSRF 攻击。 所以我在这里写下来的方式是，所有实际执行除获取信息之外的操作的操作都将是帖子。 获得将是……呃……获得。 其次，发布的每个表单都会有密钥/cookie 组合。

我的问题是，在 ASP.NET MVC Web 应用程序中实现此功能的最简单方法是什么？

不是回答我自己的问题，但这是我最初的想法：

现在我的控制器都继承自基本控制器，所以我的第一个想法是重写 OnActionExecuted 方法来检查所需表单字段是否存在，然后从那里开始它找到它，根据 cookie 验证它，然后允许帖子继续或将其踢到某个错误页面。

对于表单部分，我正在考虑生成自己的 html 扩展方法，例如... Html.BeginSecureForm() ，它重载与 BeginForm 相同的所有方法（以防万一我需要它们），但自动生成伪随机密钥和 cookie 并放置cookie 和表单内的表单字段（如果它是一个帖子！）自动。

抱歉，如果这有点混乱，我的笔记分散在这些页面中，我正在尝试组织它们。 其中一部分是弄清楚我对 XSRF 安全性的设计。

Answer 1

使用 ASP.NET MVC 中对此的内置支持。

Answer 2

内置的 ASP.NET MVC XSRF 保护有一个缺点：它会向客户端发送另一个 cookie。

同时，Html.AntiForgeryToken() 将为访问者提供一个名为 __RequestVerificationToken 的 Cookie，其值与上面显示的随机隐藏值相同。

我不想向客户端发送大量 cookie，因此当您为每个用户拥有唯一的服务器端跟踪器（例如数据库中的会话表......）时，您可以使用它。 少一个 cookie —— 只需发送用户表中某些内容的唯一哈希值。

但也有一些匿名用户没有用户帐户，因此没有服务器端跟踪。 在这种情况下，我想知道您是否可以以某种方式获取已发送给每个用户的现有 ASP.NET_SessionId cookie（启用会话时）。而不是创建另一个 Cookie。

可能的？ 还是我没有考虑清楚..？

Answer 3

一种受到关注的方法是加密令牌模式，由名为 ARMOR 的框架实现。 这里的前提是你既不需要Session也不需要cookie来维持CSRF保护。 加密令牌模式利用 Rijndael 加密令牌，其完整性由 SHA256 哈希算法维护。

ARMOR 框架在 MVC 和 Web API 应用程序中都很容易实现。 完整演练此处。