让你的ASP.NET Core应用程序更安全
对于ASP.NET Core应用程序,除了提供认证和授权机制来保证服务的安全性,还需要考虑下面的一些安全因素:
CSRF
强制HTTPS
安全的HTTP Headers
CSRF
ASP.NET Core通过AntiForgeryToken来阻止CSRF攻击,一般来说,当用户做表单提交的时候,表单中隐藏的token也会被提交到服务端,与此同时cookie中包含的另一半token也被提交到服务端,服务端通过合并两份token来验证客户端的数据是否有效。
例如在ASP.NET Core中通过下面的方式渲染表单:
<form asp-controller="Manage"asp-action="ChangePassword" method="post"> <!-- Form details --> </form> |
这样会生成下面的html,表单会包含一个隐藏的token
<form method="post" action="/Manage/ChangePassword"> <!-- Form details --> <input name="__RequestVerificationToken" type="hidden" value="CfDJ8NrAkSldwD9CpLR...LongValueHere!" /> </form> |
服务端的代码通过在对应的action上标记ValidateAntiForgeryToken来验证客户端的请求
public class ManageController { [HttpPost] [ValidateAntiForgeryToken] public IActionResult ChangePassword() { return View(); } } |
是不是每个POST请求都需要添加这样的attribute呢?
ASP.NET Core中有Filter的概念,通过添加全局Filter就能帮我们达到这样的目的:
public class Startup { public void ConfigureServices(IServiceCollection services) { services.AddMvc(options => { options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()); }); } } |
AutoValidateAntiforgeryTokenAttribute会自动忽略不需要做CSRF验证的请求类型,例如HttpGet请求。
强制HTTPS
为了让服务更加安全,你还可以强制用户使用https,你可以通过配置API网关的方式达到这个目的,也可以使用ASP.NET Core自带的特性。
使用了RequireHttpsAttribute之后,http请求将会报错。
services.Configure<MvcOptions>(options => { options.Filters.Add(new RequireHttpsAttribute()); }); |
通过下面的方式强行跳转到https。
public void Configure(IApplicationBuilder app, IHostingEnvironment env) { app.UseHttpsRedirection(); } |
通过https://securityheaders.com/来检查HTTP Header是不是安全,例如下面的扫描结果:
NWebsec是一个用来做安全相关的ASP.NET Core类库,针对ASP.NET Core中HTTP Header相关的修复,可以添加下面的Nuget包:
NWebsec.AspNetCore.Middleware |
Strict-Transport-Security:为了告诉浏览器所有的资源都必须使用https,你需要添加这个header:
app.UseHsts(hsts => hsts.MaxAge(365)); |
Redirect validation: 一旦启用了这个中间件,只能被Redirect到允许的站点, 否则会触发RedirectValidationException
app.UseRedirectValidation(opts => { opts.AllowSameHostRedirectsToHttps(); opts.AllowedDestinations("https://www.google.com/accounts/"); }); |
Referrer-Policy: 当用户点击了浏览器上的连接,请求报头中Referrer用来表示连接的来源,这个特性也可以用来做一些数据分析,通过Referrer-Policy可以控制是否显示Referrer:
app.UseReferrerPolicy(opts => opts.NoReferrer()); |
Content-Security-Policy:内容安全策略,这个http header可以让浏览器自动禁止外部注入恶意脚本,例如下面的策略将限制所有的脚本只能从同域加载:
1 |
'Content-Security-Policy': 'script-src \'self\'' |
下面的脚本引用将会引起浏览器报错:
<script type="text/javascript" src="https://cdn.bootcss.com/jquery/3.3.1/jquery.js"></script> |
使用NWebsec配置Content-Security-Policy:
app.UseCsp(options => options .DefaultSources(s => s.Self()) .ScriptSources(s => s.Self().CustomSources("scripts.nwebsec.com")) .ReportUris(r => r.Uris("/report"))); |
X-XSS-Protection: 防XSS攻击设置
app.UseXXssProtection(options => options.EnabledWithBlockMode()); |
X-Content-Type-Options: 如果服务器发送响应头 X-Content-Type-Options: nosniff,则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。
app.UseXContentTypeOptions(); |
其他的安全设置参考NWebsec文档。
原文地址:https://www.cnblogs.com/xiandnc/p/10738939.html
.NET社区新闻,深度好文,欢迎访问公众号文章汇总 http://www.csharpkit.com
让你的ASP.NET Core应用程序更安全相关推荐
- 应用程序拒绝访问_让你的ASP.NET Core应用程序更安全
对于ASP.NET Core应用程序,除了提供认证和授权机制来保证服务的安全性,还需要考虑下面的一些安全因素: CSRF 强制HTTPS 安全的HTTP Headers CSRF ASP.NET Co ...
- 在ASP.NET Core应用程序中使用分布式缓存
本文要点 ASP.NET Core内置了分布式缓存接口. 分布式缓存的主要好处有性能.数据共享和稳定性. Couchbase服务器是一个内存优先的数据库,非常适合作为分布式缓存. NuGet程序包使得 ...
- 运行Vue在ASP.NET Core应用程序并部署在IIS上
前言 从.NET Core 1.0开始我们就将其应用到项目中,但是呢我对ASP.NET Core一些原理也还未开始研究,仅限于会用,不过园子中已有大量文章存在,借着有点空余时间,我们来讲讲如何利用AS ...
- 5种设置ASP.NET Core应用程序URL的方法
默认情况下,ASP.NET Core应用程序监听以下URL: •http://localhost:5000•https://localhost:5001 在这篇文章中,我展示了5种不同的方式来更改您的 ...
- 将终结点图添加到你的ASP.NET Core应用程序中
在本文中,我将展示如何使用DfaGraphWriter服务在ASP.NET Core 3.0应用程序中可视化你的终结点路由.上面文章我向您演示了如何生成一个有向图(如我上篇文章[译]使用DOT语言和G ...
- 使用Azure Application Insignhts监控ASP.NET Core应用程序
Application Insignhts是微软开发的一套监控程序.他可以对线上的应用程序进行全方位的监控,比如监控每秒的请求数,失败的请求,追踪异常,对每个请求进行监控,从http的耗时,到SQL查 ...
- 使用Helm将ASP.NET Core应用程序部署到Kubernetes容器集群
在<容器化单页面应用中RESTful API的访问>以及<容器化单页面应用中Nginx反向代理与Kubernetes部署>两篇文章中,我介绍了一套容器化ASP.NET Core ...
- 使用 Docker 在 Linux 上托管 ASP.NET Core 应用程序
说在前面 在阅读本文之前,您必须对 Docker 的中涉及的基本概念以及常见命令有一定了解,本文侧重实战,不会对相关概念详述. 同时请确保您本地开发机器已完成如下安装: Docker 18.06 或更 ...
- 《从零开始学ASP.NET CORE MVC》:VS2019创建ASP.NET Core Web程序(三)
创建ASP.NET Core Web应用程序 如果您使用的是VS2017请看 VS2017创建ASP.NET Core Web程序(三) 在这个视频中我们将讨论 可用的不同项目模板及其功能 预制的项目 ...
最新文章
- Wireshark网络分析实例集锦第2章设置Wireshark视图
- tomcat的访问日志
- MySQL初级培训_Mysql初级学习
- Spring Bean 定义
- 解决:com.mysql.jdbc.MysqlDataTruncation: Data truncation: Data too long for column ‘ip‘ at row 1
- python编写add函数求和_为什么python不利用__iadd__来实现求和和链接运算符?
- 详解数据分析体系构成框架
- 我和学姐聊了下他在阿里这9年的成长,受益颇多!
- 我的linux复习之一密码修改
- swift中变量的几种类型
- java dht 爬虫_P2P中DHT网络爬虫
- c语言中负数参与除法,C语言中负数除法与右移取整问题
- SpringCloud Alibaba Nacos作为配置中心(三)----------yml格式配置文件
- 如何清空c盘只剩系统_怎么清空c盘只保留系统文件 你值得一看的技巧
- Wider Face数据集详解
- 可偏导不一定连续的例子
- GAN的后门攻击:The Devil is in the GAN: Defending Deep Generative Models Against Backdoor Attacks
- 专访有赞 CTO 崔玉松:打造中国 SaaS 领域最好的开店软件解决方案
- TypeScript - 函数
- 古籍研究社系列第6部《迟来的翅膀》读后感……吗?
热门文章
- 如何使用Windows搜索在任何文件中搜索文本
- apple默认备份位置_如何将Apple Maps默认设置为步行路线
- 大白话5分钟带你走进人工智能-第二十节逻辑回归和Softmax多分类问题(5)
- 数据库时区那些事儿 - MySQL的时区处理
- 你不知道的JavaScript(二)
- 存储世界瞬息万变 SSD掀行业浪潮
- 每个程序员都可能犯过的10个错误
- jQuery07源码 (3803 , 4299) attr() prop() val() addClass()等 : 对元素属性的操作
- 《超越需求:敏捷思维模式下的分析》—第1章 1.1节简介
- KVM 虚拟机自动克隆脚本