एएसपी.नेट एमवीसी 4 में डिफ़ॉल्ट रूप से सीएसआरएफ के खिलाफ कैसे रक्षा करें?

Question

क्या एएसपी.नेट एमवीसी 4 फॉर्म डिफ़ॉल्ट रूप से सीएसआरएफ के खिलाफ सुरक्षित हैं सुनिश्चित करने का कोई तरीका है?

उदाहरण के लिए, एंटीफॉर्गेरी टोकन स्वचालित रूप से दोनों दृश्यों और नियंत्रक कार्यों में सभी रूपों पर लागू होने का कोई तरीका है?

इस प्रश्न पर पृष्ठभूमि: Prevent Cross-Site Request Forgery (CSRF) using ASP.NET MVC’s AntiForgeryToken() helper और Anatomy of a Cross-site Request Forgery Attack।

Answer 1

osoviejo उत्तम जवाब देने के लिए नीचे दिए गए निर्देशों मेरी हाल ही में blog post on CSRF से जोड़ने के लिए, अपने काम को एक साथ रखा में जानकारी के साथ एक व्यापक जवाब में फिल का ब्लॉग।

एएसपी.नेट/एमवीसी इसके लिए एक तंत्र प्रदान करता है: आप वैश्विक FilterProviders ऑब्जेक्ट पर फ़िल्टर के संग्रह में जोड़ सकते हैं। यह आपको कुछ सुरक्षा नियंत्रकों को लक्षित करने की अनुमति देता है, न कि दूसरों को, आवश्यक सुरक्षा सुविधा जोड़ना।

सबसे पहले, हमें एक IFilterProvider को लागू करने की आवश्यकता है। नीचे, आप फिल हैक की Conditional Filter Provider कक्षा पा सकते हैं। इस परियोजना को अपनी परियोजना में जोड़कर शुरू करें।

public class ConditionalFilterProvider : IFilterProvider 
{ 
    private readonly 
     IEnumerable<Func<ControllerContext, ActionDescriptor, object>> _conditions; 

    public ConditionalFilterProvider(
     IEnumerable<Func<ControllerContext, ActionDescriptor, object>> conditions) 
    { 
     _conditions = conditions; 
    } 

    public IEnumerable<Filter> GetFilters(
     ControllerContext controllerContext, 
     ActionDescriptor actionDescriptor) 
    { 
     return from condition in _conditions 
       select condition(controllerContext, actionDescriptor) into filter 
       where filter != null 
       select new Filter(filter, FilterScope.Global, null); 
    } 
} 

फिर, Application_Start कि वैश्विक FilterProviders संग्रह सुनिश्चित करता है कि सभी पोस्ट नियंत्रक तरीकों AntiForgeryToken की आवश्यकता होगी के लिए एक नया ConditionalFilterProvider कहते हैं करने के लिए कोड जोड़ें।

IEnumerable<Func<ControllerContext, ActionDescriptor, object>> conditions = 
    new Func<ControllerContext, ActionDescriptor, object>[] { 
    // Ensure all POST actions are automatically 
    // decorated with the ValidateAntiForgeryTokenAttribute. 

    (c, a) => string.Equals(c.HttpContext.Request.HttpMethod, "POST", 
    StringComparison.OrdinalIgnoreCase) ? 
    new ValidateAntiForgeryTokenAttribute() : null 
}; 

var provider = new ConditionalFilterProvider(conditions); 

// This line adds the filter we created above 
FilterProviders.Providers.Add(provider); 

आप ऊपर दो कोड लागू करते हैं तो आपके MVC आवेदन साइट के लिए हर पोस्ट के लिए AntiForgeryToken से हो जाएगा। आप फिल हैक के CSRF example web site पर इसे आज़मा सकते हैं - एक बार संरक्षित होने पर, सीएसआरएफ हमला को [ValidateAntiForgeryToken] एनोटेशन जोड़ने के बिना फेंक देगा। यह "भूलने वाले प्रोग्रामर" से संबंधित कमजोरियों के पूरे मेजबान का नियम है।

Answer 2

एक तरह से करने के लिए यह उन्हें स्वचालित रूप से यह कोड डालना के लिए ASP.NET MVC में टी -4 टेम्पलेट्स कि रूपों बनाने के संशोधित करने के लिए, होगा:

<% using(Html.Form("UserProfile", "SubmitUpdate")) { %> 
    <%= Html.AntiForgeryToken() %> 
    <!-- rest of form goes here --> 
<% } %> 

और निश्चित रूप से, आप पर इसी विशेषता की जरूरत है नियंत्रक विधि:

[ValidateAntiForgeryToken] 
public ViewResult SubmitUpdate() 
{ 
    // ... etc 
} 

यह वास्तव में नहीं है कि मुश्किल इस तरह से एक आवेदन पुनः स्थापित करने के लिए है, जब तक यह असामान्य रूप से बड़े हैं। एमवीसी में मैंने जो आखिरी आवेदन लिखा था, वह शायद मुझे दोबारा दोबारा लेने के लिए ले जाएगा।

Answer 3

मैंने दो कोड विश्लेषण नियमों को लिखने के लिए FXCop का उपयोग किया है, जिसके लिए एक HttpMethod विशेषता सभी नियंत्रक क्रियाओं पर लागू होती है और एक सेकंड जिसके लिए HttpPost विशेषता वाले किसी भी क्रिया की आवश्यकता होती है, उसके लिए एक आवश्यक एन्टीफॉर्गेरी टोकन विशेषता भी होनी चाहिए।

यह हमारे लिए अच्छा काम करता है। नियम

Answer 4

लिखने के लिए विशेष रूप से कठिन नहीं हैं आप एक फ़िल्टर प्रदाता का उपयोग किसी शर्त के साथ कर सकते हैं कि फिल्टर ValidateAntiForgeryTokenAttribute() को HttpContext.Request.HttpMethod == "POST" पर लागू किया जा सकता है।

मैं अनिवार्य रूप से सामान्य दृष्टिकोण described by Phil Haack पीछा किया, और उचित हालत कहा:

// Ensure all POST actions are automatically decorated with the ValidateAntiForgeryTokenAttribute. 
(c, a) => string.Equals(c.HttpContext.Request.HttpMethod, "POST", StringComparison.OrdinalIgnoreCase) ? 
new ValidateAntiForgeryTokenAttribute() : null