歡迎來(lái)到藍(lán)隊(duì)云技術(shù)小課堂，每天分享一個(gè)技術(shù)小知識(shí)。

跨站請(qǐng)求偽造（CSRF，Cross-Site Request Forgery）是一種網(wǎng)絡(luò)攻擊，攻擊者通過(guò)欺騙用戶(hù)的瀏覽器，偽造用戶(hù)的請(qǐng)求并發(fā)送到受信任的網(wǎng)站，從而執(zhí)行用戶(hù)未授權(quán)的操作。為了防范 CSRF 攻擊，特別是在 IIS（Internet Information Services）環(huán)境中部署的 Web 應(yīng)用程序中，可以采取多種措施，確保 Web 應(yīng)用的安全性。

下面是 IIS 環(huán)境下防范 CSRF 攻擊的詳細(xì)教程：

一、CSRF 攻擊原理簡(jiǎn)述

CSRF 攻擊的核心在于利用用戶(hù)的身份驗(yàn)證狀態(tài)，欺騙用戶(hù)瀏覽器去執(zhí)行未授權(quán)的操作，通常包括如下步驟：

用戶(hù)登錄到一個(gè)可信網(wǎng)站 A，并獲得一個(gè)身份驗(yàn)證 Cookie。

用戶(hù)在未登出 A 的情況下訪問(wèn)攻擊者控制的惡意網(wǎng)站 B。

惡意網(wǎng)站 B 向網(wǎng)站 A 發(fā)送偽造的請(qǐng)求，借用用戶(hù)的身份驗(yàn)證 Cookie，使 A 認(rèn)為該請(qǐng)求是用戶(hù)授權(quán)的。

這種攻擊會(huì)造成嚴(yán)重的安全隱患，特別是在涉及財(cái)務(wù)交易、個(gè)人隱私和賬戶(hù)管理的操作中。

二、CSRF 的防范措施

要有效防范 CSRF 攻擊，可以通過(guò)以下措施來(lái)加強(qiáng) Web 應(yīng)用在 IIS 上的安全性。

1. 使用 CSRF Token

核心思想：在每個(gè)敏感操作的請(qǐng)求中加入一個(gè)唯一的、難以預(yù)測(cè)的令牌（Token）。該令牌與用戶(hù)會(huì)話(huà)綁定，并且只有用戶(hù)可以通過(guò)頁(yè)面提交合法請(qǐng)求時(shí)獲得這個(gè)令牌，攻擊者無(wú)法獲取。

實(shí)現(xiàn)步驟：

每次生成一個(gè)包含 CSRF Token 的表單頁(yè)面時(shí)，在表單中嵌入一個(gè)隱藏字段，令牌由服務(wù)器生成。

服務(wù)器驗(yàn)證每次提交時(shí)，必須確認(rèn)請(qǐng)求中包含的 CSRF Token 是否與服務(wù)器存儲(chǔ)的 Token 匹配。

ASP.NET 實(shí)現(xiàn)：

在 ASP.NET MVC 中，可以通過(guò)內(nèi)置的 @Html.AntiForgeryToken() 方法生成 CSRF Token：

<form method="post" action="/SubmitData">

    @Html.AntiForgeryToken()

    <!-- 其他表單元素 -->

</form>

控制器中的相應(yīng)動(dòng)作使用 [ValidateAntiForgeryToken] 屬性進(jìn)行驗(yàn)證：

[HttpPost]

[ValidateAntiForgeryToken]

public ActionResult SubmitData(MyModel model)

{

    // 處理數(shù)據(jù)

}

注意事項(xiàng)：

所有需要保護(hù)的表單和 Ajax 請(qǐng)求都應(yīng)包含 CSRF Token。

使用 HTTPS 加密傳輸，以防 Token 被竊取。

2. 限制請(qǐng)求方法

許多 CSRF 攻擊利用瀏覽器自動(dòng)發(fā)出的 GET 請(qǐng)求。為了防止 CSRF，應(yīng)該將敏感操作限定為僅通過(guò) POST、PUT、DELETE 等請(qǐng)求方法完成。

在 IIS 中，可以通過(guò) Web 配置文件 (web.config) 來(lái)限制特定路徑只允許特定的請(qǐng)求方法。例如：

<system.webServer>

    <security>

        <requestFiltering>

            <verbs>

                <add verb="GET" allowed="false" />

            </verbs>

        </requestFiltering>

    </security>

</system.webServer>

3. 使用 SameSite Cookie 屬性

SameSite 屬性用于指定 Cookie 在跨站請(qǐng)求中是否可以發(fā)送。通過(guò)設(shè)置 SameSite 屬性為 Strict 或 Lax，可以有效防止 CSRF 攻擊：

Strict：Cookie 在任何跨站請(qǐng)求中都不會(huì)發(fā)送。

Lax：Cookie 在某些跨站請(qǐng)求中（例如導(dǎo)航到鏈接）可以發(fā)送，但不包括表單提交和其他敏感操作。

設(shè)置 SameSite 屬性：

在 IIS 的 ASP.NET 應(yīng)用程序中，你可以在 web.config 中為身份驗(yàn)證 Cookie 設(shè)置 SameSite 屬性：

<system.web>

    <authentication mode="Forms">

        <forms loginUrl="~/Account/Login" protection="All" timeout="30" slidingExpiration="true" cookieless="UseCookies" cookieSameSite="Strict" />

    </authentication>

</system.web>

4. 驗(yàn)證 HTTP Referer 或 Origin

CSRF 攻擊中的請(qǐng)求通常不會(huì)來(lái)自受信任的站點(diǎn)。可以通過(guò)檢查 HTTP 請(qǐng)求的 Referer 或 Origin 頭來(lái)驗(yàn)證請(qǐng)求來(lái)源。

服務(wù)器只接受來(lái)自同一站點(diǎn)的請(qǐng)求：

Referer：通常會(huì)包含用戶(hù)所在頁(yè)面的 URL。

Origin：指示請(qǐng)求來(lái)源的主機(jī)名。

注意：檢查 Referer 或 Origin 可以作為額外的防護(hù)措施，但不能作為唯一手段，因?yàn)橛袝r(shí)瀏覽器可能不會(huì)發(fā)送這些頭部，或者它們可以被偽造。

5. 雙重 Cookie 驗(yàn)證

雙重 Cookie 驗(yàn)證是一種 CSRF 防護(hù)策略，要求每個(gè)請(qǐng)求同時(shí)提供：

一個(gè)身份驗(yàn)證的會(huì)話(huà) Cookie。

一個(gè)在頁(yè)面中通過(guò) JavaScript 讀取的令牌，該令牌也由服務(wù)器生成并與會(huì)話(huà)綁定。

當(dāng)用戶(hù)發(fā)送請(qǐng)求時(shí)，服務(wù)器會(huì)同時(shí)驗(yàn)證 Cookie 和頁(yè)面中的 Token。

6. 強(qiáng)制用戶(hù)登錄以進(jìn)行敏感操作

確保敏感的操作僅在用戶(hù)登錄狀態(tài)下才可以進(jìn)行，并定期要求用戶(hù)重新驗(yàn)證身份，例如輸入密碼或通過(guò)兩步驗(yàn)證。

7. 啟用 HTTPS

啟用 HTTPS 以確保 Cookie 和 CSRF Token 在傳輸過(guò)程中不會(huì)被竊取或篡改。HTTP 中的明文傳輸會(huì)使得攻擊者更容易進(jìn)行中間人攻擊，竊取用戶(hù)會(huì)話(huà)信息。

三、在 IIS 中的配置

除了在代碼級(jí)別防護(hù) CSRF 攻擊，你還可以在 IIS 中進(jìn)一步增強(qiáng)安全性。

1. 啟用請(qǐng)求驗(yàn)證

IIS 允許啟用請(qǐng)求驗(yàn)證，阻止?jié)撛谖ｋU(xiǎn)的輸入。你可以通過(guò)修改 web.config 來(lái)啟用請(qǐng)求驗(yàn)證：

<system.web>

    <pages validateRequest="true" />

</system.web>

2. 配置 URL 重寫(xiě)

使用 IIS URL 重寫(xiě)模塊，可以防止某些類(lèi)型的跨站請(qǐng)求偽造。例如，禁止帶有潛在 CSRF 攻擊路徑的請(qǐng)求。

四、總結(jié)

防范 CSRF 攻擊需要結(jié)合多種防護(hù)措施，包括 CSRF Token、Cookie 安全設(shè)置、請(qǐng)求方法限制等。在 IIS 上運(yùn)行的 Web 應(yīng)用，應(yīng)該啟用這些安全措施以減少 CSRF 攻擊的風(fēng)險(xiǎn)，同時(shí)確保 HTTPS 的使用，以保護(hù)傳輸中的敏感數(shù)據(jù)。

藍(lán)隊(duì)云官網(wǎng)上擁有完善的技術(shù)支持庫(kù)可供參考，大家可自行查閱，更多技術(shù)問(wèn)題，可以直接咨詢(xún)。同時(shí)，藍(lán)隊(duì)云整理了運(yùn)維必備的工具包免費(fèi)分享給大家使用，需要的朋友可以直接咨詢(xún)。

更多技術(shù)知識(shí)，藍(lán)隊(duì)云期待與你一起探索。