Angular對Asp.Net WebApi，在服務器上實現CSRF

Question

我在Angular.js中實現了一個網站，該網站正在訪問ASP.NET WebAPI後端。

Angular.js有一些內置的功能來幫助防csrf保護。在每個http請求上，它將查找名爲「XSRF-TOKEN」的cookie並將其作爲名爲「X-XSRF-TOKEN」的頭提交。

這依賴於Web服務器能夠在認證用戶之後設置XSRF-TOKEN cookie，然後檢查傳入請求的X-XSRF-TOKEN標頭。

的Angular documentation狀態：

要利用這一點，你的服務器需要設置令牌叫XSRF-TOKEN的第一個HTTP GET請求一個JavaScript可讀會話cookie。在隨後的非GET請求中，服務器可以驗證該Cookie是否與X-XSRF-TOKEN HTTP標頭匹配，因此請確保只有在您的域中運行的JavaScript可以讀取令牌。令牌對於每個用戶必須是唯一的，並且必須由服務器驗證（以防止JavaScript構成自己的令牌）。我們建議該令牌是您的網站身份驗證Cookie的摘要，以增加安全性。

我找不到任何有關ASP.NET WebAPI的很好的例子，所以我在各種來源的幫助下推出了自己的例子。我的問題是 - 任何人都可以看到代碼有問題嗎？

首先我定義了一個簡單的輔助類：

public class CsrfTokenHelper 
{ 
    const string ConstantSalt = "<ARandomString>"; 

    public string GenerateCsrfTokenFromAuthToken(string authToken) 
    { 
     return GenerateCookieFriendlyHash(authToken); 
    } 

    public bool DoesCsrfTokenMatchAuthToken(string csrfToken, string authToken) 
    { 
     return csrfToken == GenerateCookieFriendlyHash(authToken); 
    } 

    private static string GenerateCookieFriendlyHash(string authToken) 
    { 
     using (var sha = SHA256.Create()) 
     { 
      var computedHash = sha.ComputeHash(Encoding.Unicode.GetBytes(authToken + ConstantSalt)); 
      var cookieFriendlyHash = HttpServerUtility.UrlTokenEncode(computedHash); 
      return cookieFriendlyHash; 
     } 
    } 
} 

然後我在我的授權控制器下面的方法，我稱之爲我叫FormsAuthentication.SetAuthCookie（後）：

// http://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-(csrf)-attacks 
    // http://docs.angularjs.org/api/ng.$http 
    private void SetCsrfCookie() 
    { 
     var authCookie = HttpContext.Current.Response.Cookies.Get(".ASPXAUTH"); 
     Debug.Assert(authCookie != null, "authCookie != null"); 
     var csrfToken = new CsrfTokenHelper().GenerateCsrfTokenFromAuthToken(authCookie.Value); 
     var csrfCookie = new HttpCookie("XSRF-TOKEN", csrfToken) {HttpOnly = false}; 
     HttpContext.Current.Response.Cookies.Add(csrfCookie); 
    } 

然後我有一個自定義屬性，我可以將其添加到控制器以使其檢查csrf標頭：

public class CheckCsrfHeaderAttribute : AuthorizeAttribute 
{ 
    // http://stackoverflow.com/questions/11725988/problems-implementing-validatingantiforgerytoken-attribute-for-web-api-with-mvc 
    protected override bool IsAuthorized(HttpActionContext context) 
    { 
     // get auth token from cookie 
     var authCookie = HttpContext.Current.Request.Cookies[".ASPXAUTH"]; 
     if (authCookie == null) return false; 
     var authToken = authCookie.Value; 

     // get csrf token from header 
     var csrfToken = context.Request.Headers.GetValues("X-XSRF-TOKEN").FirstOrDefault(); 
     if (String.IsNullOrEmpty(csrfToken)) return false; 

     // Verify that csrf token was generated from auth token 
     // Since the csrf token should have gone out as a cookie, only our site should have been able to get it (via javascript) and return it in a header. 
     // This proves that our site made the request. 
     return new CsrfTokenHelper().DoesCsrfTokenMatchAuthToken(csrfToken, authToken); 
    } 
} 

最後，我清除CSRF令牌當用戶註銷：

HttpContext.Current.Response.Cookies.Remove("XSRF-TOKEN"); 

任何人都可以發現這種做法任何明顯的（或不那麼明顯）的問題？

Answer 1

沒有任何問題與代碼指出，所以我認爲這個問題的答案。

Answer 2

你的代碼似乎很好。唯一的問題是，當web.api運行在asp.net mvc的頂層時，你不需要大部分代碼，而後者已經構建了對防僞令牌的支持。

在評論中，dbrunning和ccorrin表達了擔心，只有當您使用MVC html助手時，才能夠使用AntiForgery標記進行構建。這不是真的。助手可以公開基於會話的一對令牌，您可以互相驗證。詳情請參閱下文。

UPDATE：

有兩種方法可以從防僞使用：

• AntiForgery.GetTokens使用兩個輸出參數返回cookie的令牌，並形成令牌

• AntiForgery.Validate(cookieToken, formToken)驗證，如果對令牌有效

您完全可以重新調整這兩種方法的用途，並將formToken用作headerToken和cookieToken作爲實際的cookieToken。然後在屬性中調用validate。

另一種解決方案是使用智威湯遜（檢查如MembershipReboot實現）

This link展示瞭如何使用內置的防僞標記使用Ajax：

<script> 
    @functions{ 
     public string TokenHeaderValue() 
     { 
      string cookieToken, formToken; 
      AntiForgery.GetTokens(null, out cookieToken, out formToken); 
      return cookieToken + ":" + formToken;     
     } 
    } 

    $.ajax("api/values", { 
     type: "post", 
     contentType: "application/json", 
     data: { }, // JSON data goes here 
     dataType: "json", 
     headers: { 
      'RequestVerificationToken': '@TokenHeaderValue()' 
     } 
    }); 
</script> 


void ValidateRequestHeader(HttpRequestMessage request) 
{ 
    string cookieToken = ""; 
    string formToken = ""; 

    IEnumerable<string> tokenHeaders; 
    if (request.Headers.TryGetValues("RequestVerificationToken", out tokenHeaders)) 
    { 
     string[] tokens = tokenHeaders.First().Split(':'); 
     if (tokens.Length == 2) 
     { 
      cookieToken = tokens[0].Trim(); 
      formToken = tokens[1].Trim(); 
     } 
    } 
    AntiForgery.Validate(cookieToken, formToken); 
} 

也來看看這個問題AngularJS can't find XSRF-TOKEN cookie

Answer 3

我覺得你的代碼有缺陷。圍繞阻止CSRF的整個想法是阻止每個REQUEST上的唯一令牌，而不是每個會話。如果防僞標記是會話持久值，則執行CSRF的能力仍然存在。您需要爲每個請求提供唯一的令牌...

Answer 4

此解決方案不安全，因爲只要Auth cookie有效，CSRF攻擊仍可能。當攻擊者通過另一個站點執行請求時，auth和xsrf cookie都會發送到服務器，因此在用戶進行「硬」註銷之前，您仍然處於脆弱狀態。

每個請求或會話都應該有自己的唯一標記來真正防止CRSF攻擊。但可能最好的解決方案是不使用基於cookie的身份驗證，而是使用基於令牌的身份驗證，如OAuth。這可以防止其他網站使用您的Cookie執行不需要的請求，因爲這些令牌用於http標頭而不是cookie。並且http頭不會自動發送。

1. Token Based Authentication using ASP.NET Web API 2, Owin, and Identity
2. AngularJS Token Authentication using ASP.NET Web API 2, Owin, and Identity

這些優秀的博客帖子中包含如何實現OAuth認證的WebAPI的信息。博客文章還包含有關如何將其與AngularJS集成的很好的信息。

另一種解決方案可能是禁用CORS並僅接受來自列入白名單的域的傳入請求。但是，這不適用於非網站應用程序，例如移動和/或桌面客戶端。除此之外，一旦您的網站容易受到XSS攻擊，攻擊者仍然可以在您的行爲中僞造請求。