2. 程式人生 > >ASP.NET Core中使用Csp標頭對抗Xss攻擊

ASP.NET Core中使用Csp標頭對抗Xss攻擊

阿新 發佈:2019-09-04

內容安全策略(CSP)是一個增加的安全層,可幫助檢測和緩解某些型別的攻擊,包括跨站點指令碼(XSS)和資料注入攻擊。這些攻擊用於從資料竊取到站點破壞或惡意軟體分發的所有內容(深入CSP)

簡而言之,CSP是網頁控制允許載入哪些資源的一種方式。例如,頁面可以顯式宣告允許從中載入JavaScript,CSS和影象資源。這有助於防止跨站點指令碼(XSS)攻擊等問題。

它也可用於限制協議,例如限制通過HTTPS載入的內容。CSP通過 Content-Security-Policy HTTP響應中的標頭實現。

啟用CSP,您需要配置Web伺服器以返回Content-Security-Policy

HTTP標頭。那麼在這篇文章中,我們將要嘗試將CSP新增到ASP.NET Core應用程式中。

app.Use(async (ctx, next) =>
            {
                ctx.Response.Headers.Add("Content-Security-Policy",
                            "default-src 'self'; report-uri /cspreport");
                await next();
            });

  在Home/Index中引入cdn檔案,然後我們啟動專案,看看會發生什麼!

執行並觀察錯誤。載入頁面時,瀏覽器拒絕從遠端源載入。

 

 所以我們可以組織CSP來控制我們的白名單,在配置當中需要填寫來源以及內容,以下是常用限制的選項。

來源:

*: 允許任何網址。
‘self’: 允許所提供頁面的來源。請注意,單引號是必需的。
‘none’: 不允許任何來源。請注意,單引號是必需的。
Host: 允許指定的網際網路主機(按名稱或IP地址)。萬用字元(星號字元)可用於包括所有子域,例如http://*.foo.com
‘unsafe-line’: 允許內聯指令碼
‘nonce-[base64-value]’: 允許具有特定nonce的內聯指令碼(使用一次的數字)。對於每個HTTP請求/響應,應該對nonce進行加密和唯一。

 指令:

script-src:定義有效的JavaScript源
style-src:定義樣式表的有效來源
img-src:定義有效的影象源
connect-src:定義可以進行AJAX呼叫的有效源
font-src:定義有效的字型來源
object-src:定義<object>,<embed>和<applet>元素的有效源
media-src:定義有效的音訊和視訊源
form-action:定義可用作HTML <form>操作的有效源。
default-src:指定載入內容的預設策略

我們可以在可重用的中介軟體中封裝構建和新增CSP頭。以下是一個讓您入門的示例。你可以根據需要擴充套件它。首先,建立一個用於儲存源的類。

public class CspOptions
    {
        public List<string> Defaults { get; set; } = new List<string>();
        public List<string> Scripts { get; set; } = new List<string>();
        public List<string> Styles { get; set; } = new List<string>();
        public List<string> Images { get; set; } = new List<string>();
        public List<string> Fonts { get; set; } = new List<string>();
        public List<string> Media { get; set; } = new List<string>();
    }

 開發一箇中間件一定是需要一個構造器的,這將用於.net core 的注入到執行環境中。

public sealed class CspOptionsBuilder  
 {  
     private readonly CspOptions options = new CspOptions();  
       
     internal CspOptionsBuilder() { }  
  
     public CspDirectiveBuilder Defaults { get; set; } = new CspDirectiveBuilder();  
     public CspDirectiveBuilder Scripts { get; set; } = new CspDirectiveBuilder();  
     public CspDirectiveBuilder Styles { get; set; } = new CspDirectiveBuilder();  
     public CspDirectiveBuilder Images { get; set; } = new CspDirectiveBuilder();  
     public CspDirectiveBuilder Fonts { get; set; } = new CspDirectiveBuilder();  
     public CspDirectiveBuilder Media { get; set; } = new CspDirectiveBuilder();  
  
     internal CspOptions Build()  
     {  
         this.options.Defaults = this.Defaults.Sources;  
         this.options.Scripts = this.Scripts.Sources;  
         this.options.Styles = this.Styles.Sources;  
         this.options.Images = this.Images.Sources;  
         this.options.Fonts = this.Fonts.Sources;  
         this.options.Media = this.Media.Sources;  
         return this.options;  
     }  
 }  
  
 public sealed class CspDirectiveBuilder  
 {  
     internal CspDirectiveBuilder() { }  
  
     internal List<string> Sources { get; set; } = new List<string>();  
  
     public CspDirectiveBuilder AllowSelf() => Allow("'self'");  
     public CspDirectiveBuilder AllowNone() => Allow("none");  
     public CspDirectiveBuilder AllowAny() => Allow("*");  
  
     public CspDirectiveBuilder Allow(string source)  
     {  
         this.Sources.Add(source);  
         return this;  
     }  
 }

 好了,我們建立一箇中間件。

namespace XSSDefenses.XSSDefenses.MiddlerWare
{
    public sealed class CspOptionMiddlerWare
    {
        private const string HEADER = "Content-Security-Policy";
        private readonly RequestDelegate next;
        private readonly CspOptions options;

        public CspOptionMiddlerWare(
            RequestDelegate next, CspOptions options)
        {
            this.next = next;
            this.options = options;
        }

        public async Task Invoke(HttpContext context)
        {
            context.Response.Headers.Add(HEADER, GetHeaderValue());
            await this.next(context);
        }

        private string GetHeaderValue()
        {
            var value = "";
            value += GetDirective("default-src", this.options.Defaults);
            value += GetDirective("script-src", this.options.Scripts);
            value += GetDirective("style-src", this.options.Styles);
            value += GetDirective("img-src", this.options.Images);
            value += GetDirective("font-src", this.options.Fonts);
            value += GetDirective("media-src", this.options.Media);
            return value;
        }
        private string GetDirective(string directive, List<string> sources)
            => sources.Count > 0 ? $"{directive} {string.Join(" ", sources)}; " : "";
    }
}

 以及設定它的擴充套件方法。

namespace XSSDefenses.XSSDefenses.Extensions
{
    public static class CspMiddlewareExtensions
    {
        public static IApplicationBuilder UseCsp(
             this IApplicationBuilder app, Action<CspOptionsBuilder> builder)
        {
            var newBuilder = new CspOptionsBuilder();
            builder(newBuilder);

            var options = newBuilder.Build();
            return app.UseMiddleware<CspOptionMiddlerWare>(options);
        }
    }
}

我們現在可以在Startup類中配置中介軟體。

app.UseCsp(builder =>
            {
                builder.Styles.AllowSelf()
                .Allow(@"https://ajax.aspnetcdn.com/");
            });

 啟動發現,觀察網路資源。瀏覽器已經允許本地和遠端資源。

 

相關推薦

ASP.NET Core使用Csp對抗Xss攻擊

內容安全策略(CSP)是一個增加的安全層,可幫助檢測和緩解某些型別的攻擊,包括跨站點指令碼(XSS)和資料注入攻擊。這些攻擊用於從資料竊取到站點破壞或惡意軟體分發的所有內容(深入CSP) 簡而言之,CSP是網頁控制允許載入哪些資源的一種方式。例如,頁面可以顯式宣告允許從中載入JavaScript,C

Asp.Net CoreJson序列化處理整理

忽略 化工 res ref 工具 使用 asp.net ctr ide 一、Asp.Net Core中的Json序列化處理使用的是Newtonsoft.Json,更多參考:C# Newtonsoft.Json JsonSerializerSettings配置序列化操作,C#

asp.net core負載均衡場景下http重定向https的問題

進行 urn 循環 == 是否 美的 err add ddr 上周欣喜地發現,微軟官方終於針對 asp.net core 在使用負載均衡的情況下從 http 強制重定向至 https 的問題提供了解決方法。 app.UseForwardedHeaders(new Fo

體驗 ASP.NET Core 的多語言支持(Localization)

lan expander -c blank 根據 body esp doc input 首先在 Startup 的 ConfigureServices 中添加 AddLocalization 與 AddViewLocalization 以及配置 RequestLocaliz

ASP.NET Core 使用Cookie中間件

新用戶 private 應該 validate ive mes esp tom 全選 http://ASP.NET Core 提供了Cookie中間件來序列化用戶主題到一個加密的Cookie中並且在後來的請求中校驗這個Cookie,再現用戶並且分配到HttpContext對

ASP.NET.Core使用AutoMapper

nvi 創建 reat fin intern stat 中間件 isa addm 首先需要在NuGet中引用AutoMapper的類庫 install-package AutoMapper install-package AutoMapper.Extens

IdentityServer4在Asp.Net Core的應用(一)

types eid 應用 temp ant 所有 com 好用 nts IdentityServer4是一套身份授權以及訪問控制的解決方案,專註於幫助使用.Net 技術的公司為現代應用程序建立標識和訪問控制解決方案,包括單點登錄、身份管理、授權和API安全。

IdentityServer4在Asp.Net Core的應用(二)

str discover content 用戶信息 完成 服務 resp csharp line 繼續上次授權的內容,客戶端模式後我們再說以下密碼模式,先回顧下密碼模式的流程: 我們還是使用上次的代碼,在那基礎上修改,在IdentityServer4裏面有一個Id

asp.net core遇到需要自定義數據包解密方法的時候

聲明 AD AR 但是 sof AC asp 參數聲明 request 最近將公司的項目用.netcore重寫, 服務的http外部接口部分收發消息是DES加解密的, 那麽在asp.net core mvc的action處理之前需要加入解密這個步驟. 我第一想到的是用f

ASP.NET Core使用Razor視圖引擎渲染視圖為字符串(轉)

http onf ces mod ado efault his .html 返回 一、視圖渲染說明 在有些項目需求上或許需要根據模板生產靜態頁面,那麽你一樣可以用Razor語法去直接解析你的頁面從而把解析的頁面生成靜態頁,這樣的使用場景很多,不限於生成靜態頁面,視圖引擎為我

asp.net coreIHttpContextAccessor和HttpContextAccessor的妙用

class sys image 只需要 iap href build .com bubuko 分享一篇文章,關於asp.net core中httpcontext的拓展。 現在,試圖圍繞HttpContext.Current構建你的代碼真的不是一個好主意,但是我想如果你

Asp.Net Core利用Seq組件展示結構化日誌功能

eve 發布 哪裏 HA 快速 inf ron void 級別 在一次.Net Core小項目的開發中,掌握的不夠深入,對日誌記錄並沒有好好利用,以至於一出現異常問題,都得跑動服務器上查看,那時一度懷疑自己肯定沒學好,不然這一塊日誌不可能需要自己扒服務器日誌來查看,果然,很

Asp.Net Core使用Swagger,你不得不踩的坑

action npr resolve com rate point creat 21點 use   很久不來寫blog了,換了新工作後很累,很忙。每天常態化加班到21點,偶爾還會到淩晨,加班很累,但這段時間,也確實學到了不少知識,今天這篇文章和大家分享一下:Asp.Net

Asp.Net Core使用中間件保護非公開文件

解析 seq const sha readwrite req image 上傳文件 res 在企業開發中,我們經常會遇到由用戶上傳文件的場景,比如某OA系統中,由用戶填寫某表單並上傳身份證,由身份管理員審查,超級管理員可以查看。 就這樣一個場景,用戶上傳的文件只能有三種人看

asp.net core KindEditor的使用

創建文件夾 n) reat core creat har reg ali only 主要是需要對上傳圖片和文件管理的服務端進行改造 public class KindEditorController : Controller { priva

詳解Asp.Net Core的Cookies

ace fault list request escape eal toarray 請求 read 目錄 詳解Asp.Net Core中的cookies 搞懂cookies Asp.Net中cookies的實現 從http中獲取cookies 將cookies寫入http

玩轉ASP.NET Core的日誌組件

文件夾 tst allow sting fault optional manage erp www 簡介 日誌組件,作為程序員使用頻率最高的組件,給程序員開發調試程序提供了必要的信息。ASP.NET Core中內置了一個通用日誌接口ILogger,並實現了多種內置的日誌提供

Asp.Net Core取得物理路徑

ret cor path The hosting http spa urn ont 在Asp.Net Core中取得物理路徑: 從ASP.NET Core RC2開始,可以通過註入 IHostingEnvironment 服務對象來取得Web根目錄和內容根目錄的物理路徑,如

ASP.NET Core 的配置

ted .com 托管 lee obj 根據 webapi ocs 根目錄 前言 配置在我們開發過程中必不可少,ASP.NET中的配置在 Web.config 中。也可配置在如:JSON、XML、數據庫等(但ASP.NET並沒提供相應的模塊和方法)。 在ASP.NET

ASP.NET Core使用表達式樹創建URL

重命名 tco AMM mic detail str each ict 還需 當我們在ASP.NET Core中生成一個action的url會這樣寫: var url=_urlHelper.Action("Index", "Home"