Question

我们使用ASP.NET MVC的默认Antiforgery技术。最近，一家安全公司对表单进行了扫描，并注意到他们可以多次使用相同的_RequestVerificationToken组合（cookie +隐藏字段）。或者他们如何表达：＆＃34;正文中的CSRF令牌在服务器端验证，但即使服务器使用也未被撤销生成一个新的CSRF令牌。＆＃34;

在阅读了有关Antiforgery实施的文档和多篇文章之后，我的理解是，只要会话用户与令牌中的用户匹配，这确实是可行的。

他们推荐的部分内容：＆＃34;此类令牌应该在至少，每个用户会话都是唯一的＆＃34; 根据我的理解，除了匿名用户，情况已经是这样了，对吗？

我的问题：这是一个安全问题吗？这有多大的风险？是否有一个库确保令牌不可重复使用/无效。

如果没有，在会话中包含一个额外的随机令牌，将在每个请求中重置，听起来就像解决问题一样。

Answer 1

客户最终同意ASP.NET的Antiforgery实现已足够。为了好玩，我想扩展Antiforgery以满足失效要求。

Antiforgery库有一个扩展点：IAntiforgeryAdditionalDataProvider（Core）和IAntiForgeryAdditionalDataProvider（pre-Core）

在ASP.NET MVC（pre-Core）中，您可以在启动时设置它。

using System.Web;
using System.Web.Helpers;
// ...

namespace AntiForgeryStrategiesPreCore
{
    public class MvcApplication : HttpApplication
    {
        protected void Application_Start()
        {
            // ...
            AntiForgeryConfig.AdditionalDataProvider = new MyAdditionalDataProvider();
        }
    }
}

对于ASP.NET Core，您需要将IAntiforgeryAdditionalDataProvider注册为服务。如果不这样做，它将使用无效的DefaultAntiforgeryAdditionalDataProvider（source）。

using System;
using Microsoft.AspNetCore.Antiforgery;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Extensions.Logging;

namespace AntiForgeryStrategiesCore
{
    // ...

    public class Startup
    {
        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            services.AddSingleton<IAntiforgeryAdditionalDataProvider, SingleTokenAntiforgeryAdditionalDataProvider>();
            // ...
        }
    }

    // ...
}

现在，您可以向Antiforgery令牌添加其他数据，这些数据将被加入您的Cookie和表单字段。这是一个MVC Core示例，它在Session中保留一个令牌，并在使用后将其删除。

using Microsoft.AspNetCore.Antiforgery;
using Microsoft.AspNetCore.Http;

namespace AntiForgeryStrategiesCore
{
    public class SingleTokenAntiforgeryAdditionalDataProvider : IAntiforgeryAdditionalDataProvider
    {
        private const string TokenKey = "SingleTokenKey";

        public string GetAdditionalData(HttpContext context)
        {
            var token = TokenGenerator.GetRandomToken();
            context.Session.SetString(TokenKey, token);
            return token;
        }

        public bool ValidateAdditionalData(HttpContext context, string additionalData)
        {
            var token = context.Session.GetString(TokenKey);
            context.Session.Remove(TokenKey);
            return token == additionalData;
        }
    }
}

建议不要这样做，因为当您打开包含多个表单的多个选项卡时，只有一个表单在会话中具有有效令牌，而另一个表单将失败。这就是我制作一个持有多个令牌的原因。您可以在GitHub上找到AdditionalDataProvider和其他人（基于时间，基于队列）。

防伪标记是可重复使用的

1 个答案: