【微服务】06-安全问题

news2024/11/16 15:40:00

文章目录

    • 1.反跨站请求伪造
      • 1.1 攻击过程
      • 1.2 攻击核心
      • 1.3 如何防御
      • 1.4 使用AntiforgeryToken机制来防御用到的类
    • 2. 防开发重定向共计
      • 2.1 攻击过程
      • 2.2 攻击核心
      • 2.3 防范措施
    • 3.防跨站脚本
      • 3.1 攻击过程
      • 3.2 防范措施
    • 4.跨域请求
      • 4.1 同源与跨域
      • 4.2 CORS过程
      • 4.2 CORS是什么
      • 4.3 CORS请求头
      • 4.4 CORS响应头
      • 4.5 默认支持的Expose Headers

1.反跨站请求伪造

1.1 攻击过程

在这里插入图片描述

1.2 攻击核心

  • 用户已经登录"好站点"
  • "好站点"通过Cookie存储和传递身份信息
  • 用户访问了"坏站点"

1.3 如何防御

  • 不使用Cookie来存储和传输身份信息,使用JWT认证
  • 使用AntiforgeryToken机制来防御
  • 避免使用Get作为业务操作的请求方法

浏览器每次请求都会携带Cookie,这是我们控制不了的,而Jwt的Token则需要在同域下的脚本才能发起,需要在同域下运行脚本从token的存储里面去获取的,比如localstorage这样的存储

1.4 使用AntiforgeryToken机制来防御用到的类

  • ValidateAntiForgeryToken
  • AutoValidateAntiforgeryToken
// startup
public void ConfigureServices(IServiceCollection services)
{
	// 防止跨站请求伪造的策略配置
	services.AddAntiforgery(options =>
            {
                options.HeaderName = "X-CSRF-TOKEN";//
            });
}

// 开启全局AntiForgeryToken验证
//services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()));

如果不希望全局开启AntiForgeryToken验证,可以在API上通过特性设置

[Authorize]
[ValidateAntiForgeryToken]//这里进行AntiForgeryToken验证
public IActionResult CreateOrder(string itemId, int count)
{
    ...
}

2. 防开发重定向共计

2.1 攻击过程

在这里插入图片描述

2.2 攻击核心

  • “好站点”的重定向未验证目标URL
  • 用户访问了“坏站点”

2.3 防范措施

  • 使用LocalRedirect来处理重定向
  • 验证重定向的目标域名是否合法

LocalRedirect处理的重定向仅限于本站,也就是它的重定向不能跨站,所以不会重定向到坏站点

[HttpPost]
        public async Task<IActionResult> Login([FromServices]IAntiforgery antiforgery, string name, string password, string returnUrl)
        {
            HttpContext.Response.Cookies.Append("CSRF-TOKEN", antiforgery.GetTokens(HttpContext).RequestToken, new Microsoft.AspNetCore.Http.CookieOptions { HttpOnly = false });
            var identity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);//一定要声明AuthenticationScheme
            identity.AddClaim(new Claim("Name", "小王"));
            await this.HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(identity));
            if (string.IsNullOrEmpty(returnUrl))
            {
                return Content("登录成功");
            }
            try
            {
            	// 使用LocalRedirect处理,如果出现异常,重定向到首页,避免站点跳转到外部站点
            	// 如果我们需要跳转到其它站点时,我们需要验证returnUrl合法性,然后使用Redirect进行跳转
                return LocalRedirect(returnUrl);
            }
            catch
            {
                return Redirect("/");
            }
            //return Redirect(returnUrl);
        }


3.防跨站脚本

3.1 攻击过程

在这里插入图片描述

3.2 防范措施

  • 对用户提交内容进行验证,拒绝恶意脚本
  • 对用户提交的内容进行编码UrlEncoder,JavaScriptEncoder
  • 慎用HtmlString和HemlHelper.Raw
  • 身份信息Cookie设置为HttpOnly
  • 避免使用Path传递带有不受信的字符,使用Query进行传递
public void ConfigureServices(IServiceCollection services)
{
	services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
           .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
           {
               options.LoginPath = "/home/login";
               options.Cookie.HttpOnly = true;
           });
}

4.跨域请求

4.1 同源与跨域

  • 方案相同(HTTP/HTTPS)
  • 主机(域名)相同
  • 端口相同

如果方案、主机(域名)、端口这个三个都相同则认为两个域名是同源的,如果三者中有任意一个不同,则认为请求是跨域的

4.2 CORS过程

在这里插入图片描述

浏览器发起了一个请求,访问了abc.com的网站,网站给予返回响应,那么浏览器当前就处于abc.com这个主域名下。这时如果向efg.com网站发起一个http ajax请求,这时则认为这是一个跨域请求。
浏览器在发起跨域请求前会向efg.com发起一个基于HTTP option的预检请求,efg.com收到预检请求后,会根据当前预检请求的一些信息,如主域,header,身份认证信息等,去判断是否允许跨域请求;如果efg.com允许发起跨域请求,浏览器会正式地向efg.com发起我们要求的跨域请求,这时efg.com会响应正常的页面Api信息

4.2 CORS是什么

  • CORS是浏览器允许跨域发起请求“君子协定”
  • 它是浏览器行为协议
  • 它并不会让服务器拒绝其它途径发起的HTTP请求
  • 开启时需要考虑是否存在被恶意网站工具的情形

CORS影响的是浏览器是否允许在其它域下面通过脚本来发起跨域的请求

4.3 CORS请求头

  • Origin请求源 ⇒ 指的是当前主域的地址
  • Access-Control-Request-Method ⇒ 希望的请求方法
  • Access-Control-Request-Headers ⇒ 希望请求发起的请求头

4.4 CORS响应头

  • Access-Control-Allow-Origin ⇒ 是否允许跨域
  • Access-Control-Allow-Credentials ⇒ 是否允许携带认证信息,如cookie 信息
  • Access-Control-Expose-Headers ⇒ 是否允许跨域请求的脚本访问到响应头,默认情况会暴露一些默认的头部信息
  • Access-Control-Max-Age ⇒ 跨域响策略时间
  • Access-Control-Allow-Methods ⇒ 允许的Http方法
  • Access-Control-Allow-Headers ⇒ 允许的header

4.5 默认支持的Expose Headers

  • Cache-Control
  • Content-Language
  • Content-Type
  • Expires
  • Last-Modified
  • Pragma
// startup
public void ConfigureServices(IServiceCollection services)
{
	services.AddCors(options =>
    {
         options.AddPolicy("api", builder =>
          {
          // WithOrigins允许跨域的源
          //AllowAnyHeader 允许发起任何header
          // AllowCredentials 允许身份认证,发起的请求会自动携带域下面的cookie信息
          // WithExposedHeaders 设置脚本允许访问的响应header列表
          builder.WithOrigins("https://localhost:5001").AllowAnyHeader().AllowCredentials().WithExposedHeaders("abc");
			
			// 允许跨域的源设置为任意,
		   builder.SetIsOriginAllowed(orgin => true).AllowCredentials().AllowAnyHeader();
          });
     });
}

// 设置中间件
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
	...
	app.UseCors();// 注册尽量靠前,放在routing之后
}

// 使用
[Authorize]
[HttpPost]
[EnableCors("api")]// 也可以设置在Controller上
//[DisableCors] //不允许跨域
public object PostCors(string name)
{
    return new { name = name + DateTime.Now.ToString() };
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/930653.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

解决问题的步骤

得到曲铠的课程学习。 个人感觉前面几节如明确和理解问题&#xff0c;拆分问题&#xff0c;挺好的。 后面就是水分很大&#xff0c;感觉有点烂尾了。 拆分和定期问题&#xff0c;这个指导意义还是很大的。 本质上思路还是有很多学习的地方&#xff0c;更加明确了&#xff0…

nodejs+vue+elementui健身房教练预约管理系统nt5mp

运用新技术&#xff0c;构建了以vue.js为基础的私人健身和教练预约管理信息化管理体系。根据需求分析结果进行了系统的设计&#xff0c;并将其划分为管理员&#xff0c;教练和用户三种角色&#xff1a;主要功能包括首页&#xff0c;个人中心&#xff0c;用户管理&#xff0c;教…

Tomcat和Servlet基础知识的讲解(JavaEE初阶系列16)

目录 前言&#xff1a; 1.Tomcat 1.1Tomcat是什么 1.2下载安装 2.Servlet 2.1什么是Servlet 2.2使用Servlet来编写一个“hello world” 1.2.1创建项目&#xff08;Maven&#xff09; 1.2.2引入依赖&#xff08;Servlet&#xff09; 1.2.3创建目录&#xff08;webapp&a…

java-线程之间共享数据

1. 如何在两个线程之间共享数据 Java 里面进行多线程通信的主要方式就是共享内存的方式&#xff0c;共享内存主要的关注点有两个&#xff1a;可见性和有序性原子性。Java 内存模型&#xff08;JMM&#xff09;解决了可见性和有序性的问题&#xff0c;而锁解决了原子性的问题&a…

人脸识别平台批量导入绑定设备的一种方法

因为原先平台绑定设备是通过一个界面进行人工选择绑定或一个人一个人绑定设备。如下&#xff1a; 但有时候需要在几千个里选择出几百个&#xff0c;那这种方式就不大现实了&#xff0c;需要另外一种方法。 目前相到可以通过导入批量数据进行绑定的方式。 一、前端 主要是显示…

性能测试报告-用于项目的性能验证、性能调优、发现性能缺陷等应用场景

性能测试报告 性能测试报告是一种重要的报告类型&#xff0c;旨在评估软件系统的性能、稳定性和安全性。在这篇文章中&#xff0c;我们将详细介绍性能测试报告的应用场景、测试方法和性能指标&#xff0c;以及如何撰写一份有效的性能测试报告。 一、概述 性能测试报告的目的是…

贪吃蛇是怎么实现的,循环数组的魔力

贪吃蛇是怎么实现的&#xff0c;比如有5个结点的蛇&#xff0c;1,2,3,4,5&#xff0c;1是头&#xff0c;5是尾&#xff0c;结点的坐标用(x,y)表示&#xff0c;蛇要移动x,y怎么变化&#xff1f;没有转向的时候好理解&#xff0c;如果是在水平方向直着走,所有结点的横坐标x1&…

stm32之9.中断优先级配置

主函数main.c #include <stm32f4xx.h> #include "led.h" #include "key.h"#define PAin(n) (*(volatile uint32_t *)(0x42000000 (GPIOA_BASE0x10-0x40000000)*32 (n)*4)) #define PEin(n) (*(volatile uint32_t *)(0x42000000 (GP…

Spring Cloud Alibaba-Sentinel-Sentinel入门

1 什么是Sentinel Sentinel (分布式系统的流量防卫兵) 是阿里开源的一套用于服务容错的综合性解决方案。它以流量为切入点, 从流量控制、熔断降级、系统负载保护等多个维度来保护服务的稳定性。Sentinel 具有以下特征: 丰富的应用场景&#xff1a;Sentinel 承接了阿里…

开始MySQL之路——MySQL约束概述详解

MySQL约束 create table [if not exists] 表名(字段名1 类型[(宽度)] [约束条件] [comment 字段说明],字段名2 类型[(宽度)] [约束条件] [comment 字段说明],字段名3 类型[(宽度)] [约束条件] [comment 字段说明] )[表的一些设置]; 概念 约束英文&#xff1a;constraint 约束实…

【详解】文本检测OCR模型的评价指标

关于文本检测OCR模型的评价指标 前言&#xff1a;网上关于评价标准乱七八糟的&#xff0c;有关于单词的&#xff0c;有关于段落的&#xff0c;似乎没见过谁解释一下常见论文中常用的评价指标具体是怎么计算的&#xff0c;比如DBNet&#xff0c;比如RCNN&#xff0c;这似乎好像…

6种限流实现,附代码![通俗易懂]

作者 | 磊哥 来源 | Java中文社群&#xff08;ID&#xff1a;javacn666&#xff09; 转载请联系授权&#xff08;微信ID&#xff1a;GG_Stone 限流是一种控制访问速率的策略&#xff0c;用于限制系统、服务或API接口的请求频率或数量。它的目的是为了保护系统免受过多请求的影响…

人体行走电压测试仪的特点

人体行走电压测试仪是一种用于测量人体行走时身体所受到的电压的设备。当人体行走时&#xff0c;我们身体与地面之间会形成电位差&#xff0c;这个电位差通常是很小的&#xff0c;但可能会对人体产生影响。通过使用行走电压测试仪&#xff0c;可以精确地测量这种电位差的大小。…

Leetcode-每日一题【剑指 Offer 36. 二叉搜索树与双向链表】

题目 输入一棵二叉搜索树&#xff0c;将该二叉搜索树转换成一个排序的循环双向链表。要求不能创建任何新的节点&#xff0c;只能调整树中节点指针的指向。 为了让您更好地理解问题&#xff0c;以下面的二叉搜索树为例&#xff1a; 我们希望将这个二叉搜索树转化为双向循环链表…

(mybatis与spring集合

mybatis与spring集合 一、Spring集成MyBatis1.1. pom依赖1.2. 配置文件1.3. Spring整合MyBatis1.3.1. 配置自动扫描JavaBean1.3.2. 配置数据源1.3.3. 配置session工厂1.3.4. 配置mapper扫描接口1.3.5. 配置事务管理器1.3.6. 配置AOP自动代理1.4. 测试 二、Spring集成PageHelper…

Nodejs+vue+elementui幼儿园管理系统5umt6

本课题主要研究如何用信息化技术改善传统幼儿园行业的经营和管理模式&#xff0c;简化幼儿园管理的难度&#xff0c;根据幼儿园管理实际业务需求&#xff0c;调研、分析和编写系统需求文档&#xff0c;设计编写符合企业需要的系统说明书&#xff0c;绘制数据库结构模型&#xf…

AI驱动的大数据创新:探索软件开发中的机会和挑战

文章目录 机会数据驱动的决策自动化和效率提升智能预测和优化个性化体验 挑战数据隐私与安全技术复杂性数据质量和清洗伦理和社会问题 案例&#xff1a;智能代码生成工具总结 &#x1f388;个人主页&#xff1a;程序员 小侯 &#x1f390;CSDN新晋作者 &#x1f389;欢迎 &…

SpringBoot使用@Scheduled实现定时任务

前言 Spring3.0版本之后就自带定时任务&#xff0c;提供了EnableScheduling和Scheduled这两个注解来实现定时任务的功能。 创建定时任务也变得尤为简单。 创建过程 步骤一&#xff1a;在SpringBoot的启动类上加上EnableScheduling注解&#xff0c;开启定时任务管理。 步骤二…

2023-08-26 LeetCode每日一题(汇总区间)

2023-08-26每日一题 一、题目编号 228. 汇总区间二、题目链接 点击跳转到题目位置 三、题目描述 给定一个 无重复元素 的 有序 整数数组 nums 。 返回 恰好覆盖数组中所有数字 的 最小有序 区间范围列表 。也就是说&#xff0c;nums 的每个元素都恰好被某个区间范围所覆盖…

五、多表查询-4.外连接

一、语法 二、演示-左外连接 【例】查询emp1表的所有数据&#xff08;17条&#xff09;&#xff0c;和对应的部门信息&#xff08;左外连接&#xff09; 【 左外连接和内连接区别】 内连接只能查到16条数据&#xff0c;dept_id为null的值查不到 左外连接可以查到17条所有数据…