21

私は JSON ベースの AJAX リクエストを作成しています。MVC コントローラーを使用して、Phil Haack のAJAX による CSRF の防止と、Johan Driessen のMVC 4 RC 用の最新の Anti-XSRF に非常に感謝しています。しかし、API 中心のコントローラーを Web API に移行すると、2 つのアプローチの機能が著しく異なり、CSRF コードを移行できないという問題が発生します。

ScottS は最近、同様の質問を提起し、 Darin Dimitrovが回答しました。Darin のソリューションには、AntiForgery.Validate を呼び出す承認フィルターの実装が含まれます。残念ながら、このコードは私には機能しません (次の段落を参照)。正直なところ、私には高度すぎます。

私が理解しているように、Phil のソリューションは、フォーム要素がない場合に JSON リクエストを行う際の MVC AntiForgery の問題を克服します。フォーム要素は、AntiForgery.Validate メソッドによって想定/期待されます。これが、私が Darin のソリューションにも問題を抱えている理由だと思いますHttpAntiForgeryException 「必要な偽造防止フォーム フィールド '__RequestVerificationToken' が存在しません」を受け取りました。トークンが POST されていることは確かです (ただし、Phil Haack のソリューションのヘッダーにあります)。クライアントの呼び出しのスナップショットを次に示します。

$token = $('input[name=""__RequestVerificationToken""]').val();
$.ajax({
    url:/api/states",
    type: "POST",
    dataType: "json",
    contentType: "application/json: charset=utf-8",
    headers: { __RequestVerificationToken: $token }
}).done(function (json) {
    ...
});

Johan のソリューションと Darin のソリューションを組み合わせてハックを試みましたが、機能するようになりましたが、HttpContext.Current を導入しています。

これが私の洗練されていないマッシュアップです..変更は、try ブロックの 2 行です。

public Task<HttpResponseMessage> ExecuteAuthorizationFilterAsync(HttpActionContext actionContext, CancellationToken cancellationToken, Func<Task<HttpResponseMessage>> continuation)
{
    try
    {
        var cookie = HttpContext.Current.Request.Cookies[AntiForgeryConfig.CookieName];
        AntiForgery.Validate(cookie != null ? cookie.Value : null, HttpContext.Current.Request.Headers["__RequestVerificationToken"]);
    }
    catch
    {
        actionContext.Response = new HttpResponseMessage
        {
            StatusCode = HttpStatusCode.Forbidden,
            RequestMessage = actionContext.ControllerContext.Request
        };
        return FromResult(actionContext.Response);
    }
    return continuation();
}

私の質問は次のとおりです。

  • Darin のソリューションは、フォーム要素の存在を前提としていると考えるのは正しいですか?
  • Darin の Web API フィルターを Johan の MVC 4 RC コードとマッシュアップするエレガントな方法は何ですか?

前もって感謝します!

4

5 に答える 5

33

ヘッダーから読み取ってみることができます:

var headers = actionContext.Request.Headers;
var cookie = headers
    .GetCookies()
    .Select(c => c[AntiForgeryConfig.CookieName])
    .FirstOrDefault();
var rvt = headers.GetValues("__RequestVerificationToken").FirstOrDefault();
AntiForgery.Validate(cookie != null ? cookie.Value : null, rvt);

注:は、 の一部でGetCookiesあるクラスに存在する拡張メソッドです。それはおそらく存在するでしょうHttpRequestHeadersExtensionsSystem.Net.Http.Formatting.dllC:\Program Files (x86)\Microsoft ASP.NET\ASP.NET MVC 4\Assemblies\System.Net.Http.Formatting.dll

于 2012-07-30T17:32:10.277 に答える
13

ActionFilterAttribute から継承して OnActionExecuting メソッドをオーバーライドすることで少し単純化しましたが、このアプローチは私にも有効であったことを付け加えたいと思います (.ajax は JSON を Web API エンドポイントに投稿します)。

public class ValidateJsonAntiForgeryTokenAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        try
        {
            var cookieName = AntiForgeryConfig.CookieName;
            var headers = actionContext.Request.Headers;
            var cookie = headers
                .GetCookies()
                .Select(c => c[AntiForgeryConfig.CookieName])
                .FirstOrDefault();
            var rvt = headers.GetValues("__RequestVerificationToken").FirstOrDefault();
            AntiForgery.Validate(cookie != null ? cookie.Value : null, rvt);
        }
        catch
        {               
            actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Forbidden, "Unauthorized request.");
        }
    }
}
于 2013-04-18T20:07:11.430 に答える
0

AuthorizeAttribute を使用した実装:

using System;
using System.Linq;
using System.Net.Http;
using System.Web;
using System.Web.Helpers;
using System.Web.Http;
using System.Web.Http.Controllers;

  [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
  public class ApiValidateAntiForgeryToken : AuthorizeAttribute {
    public const string HeaderName = "X-RequestVerificationToken";

    private static string CookieName => AntiForgeryConfig.CookieName;

    public static string GenerateAntiForgeryTokenForHeader(HttpContext httpContext) {
      if (httpContext == null) {
        throw new ArgumentNullException(nameof(httpContext));
      }

      // check that if the cookie is set to require ssl then we must be using it
      if (AntiForgeryConfig.RequireSsl && !httpContext.Request.IsSecureConnection) {
        throw new InvalidOperationException("Cannot generate an Anti Forgery Token for a non secure context");
      }

      // try to find the old cookie token
      string oldCookieToken = null;
      try {
        var token = httpContext.Request.Cookies[CookieName];
        if (!string.IsNullOrEmpty(token?.Value)) {
          oldCookieToken = token.Value;
        }
      }
      catch {
        // do nothing
      }

      string cookieToken, formToken;
      AntiForgery.GetTokens(oldCookieToken, out cookieToken, out formToken);

      // set the cookie on the response if we got a new one
      if (cookieToken != null) {
        var cookie = new HttpCookie(CookieName, cookieToken) {
          HttpOnly = true,
        };
        // note: don't set it directly since the default value is automatically populated from the <httpCookies> config element
        if (AntiForgeryConfig.RequireSsl) {
          cookie.Secure = AntiForgeryConfig.RequireSsl;
        }
        httpContext.Response.Cookies.Set(cookie);
      }

      return formToken;
    }


    protected override bool IsAuthorized(HttpActionContext actionContext) {
      if (HttpContext.Current == null) {
        // we need a context to be able to use AntiForgery
        return false;
      }

      var headers = actionContext.Request.Headers;
      var cookies = headers.GetCookies();

      // check that if the cookie is set to require ssl then we must honor it
      if (AntiForgeryConfig.RequireSsl && !HttpContext.Current.Request.IsSecureConnection) {
        return false;
      }

      try {
        string cookieToken = cookies.Select(c => c[CookieName]).FirstOrDefault()?.Value?.Trim(); // this throws if the cookie does not exist
        string formToken = headers.GetValues(HeaderName).FirstOrDefault()?.Trim();

        if (string.IsNullOrEmpty(cookieToken) || string.IsNullOrEmpty(formToken)) {
          return false;
        }

        AntiForgery.Validate(cookieToken, formToken);
        return base.IsAuthorized(actionContext);
      }
      catch {
        return false;
      }
    }
  }

次に、コントローラーまたはメソッドを [ApiValidateAntiForgeryToken] で装飾します。

そして、これを剃刀ファイルに追加して、JavaScript のトークンを生成します。

<script>
var antiForgeryToken = '@ApiValidateAntiForgeryToken.GenerateAntiForgeryTokenForHeader(HttpContext.Current)';
// your code here that uses such token, basically setting it as a 'X-RequestVerificationToken' header for any AJAX calls
</script>
于 2017-01-05T13:53:06.150 に答える
0

Darin の回答を使用した拡張方法で、ヘッダーの存在を確認します。このチェックは、結果のエラー メッセージが、「指定されたヘッダーが見つかりませんでした。

public static bool IsHeaderAntiForgeryTokenValid(this HttpRequestMessage request)
{
    try
    {
        HttpRequestHeaders headers = request.Headers;
        CookieState cookie = headers
                .GetCookies()
                .Select(c => c[AntiForgeryConfig.CookieName])
                .FirstOrDefault();

        var rvt = string.Empty;
        if (headers.Any(x => x.Key == AntiForgeryConfig.CookieName))
            rvt = headers.GetValues(AntiForgeryConfig.CookieName).FirstOrDefault();

        AntiForgery.Validate(cookie != null ? cookie.Value : null, rvt);
    }
    catch (Exception ex)
    {
        LogHelper.LogError(ex);
        return false;
    }

    return true;
}

ApiController の使用法:

public IHttpActionResult Get()
{
    if (Request.IsHeaderAntiForgeryTokenValid())
        return Ok();
    else
        return BadRequest();
}
于 2014-12-15T22:22:40.187 に答える