歡迎來到藍隊云技術小課堂，每天分享一個技術小知識。

跨站請求偽造（CSRF，Cross-Site Request Forgery）是一種網絡攻擊，攻擊者通過欺騙用戶的瀏覽器，偽造用戶的請求并發送到受信任的網站，從而執行用戶未授權的操作。為了防范 CSRF 攻擊，特別是在 IIS（Internet Information Services）環境中部署的 Web 應用程序中，可以采取多種措施，確保 Web 應用的安全性。

下面是 IIS 環境下防范 CSRF 攻擊的詳細教程：

一、CSRF 攻擊原理簡述

CSRF 攻擊的核心在于利用用戶的身份驗證狀態，欺騙用戶瀏覽器去執行未授權的操作，通常包括如下步驟：

用戶登錄到一個可信網站 A，并獲得一個身份驗證 Cookie。

用戶在未登出 A 的情況下訪問攻擊者控制的惡意網站 B。

惡意網站 B 向網站 A 發送偽造的請求，借用用戶的身份驗證 Cookie，使 A 認為該請求是用戶授權的。

這種攻擊會造成嚴重的安全隱患，特別是在涉及財務交易、個人隱私和賬戶管理的操作中。

二、CSRF 的防范措施

要有效防范 CSRF 攻擊，可以通過以下措施來加強 Web 應用在 IIS 上的安全性。

1. 使用 CSRF Token

核心思想：在每個敏感操作的請求中加入一個唯一的、難以預測的令牌（Token）。該令牌與用戶會話綁定，并且只有用戶可以通過頁面提交合法請求時獲得這個令牌，攻擊者無法獲取。

實現步驟：

每次生成一個包含 CSRF Token 的表單頁面時，在表單中嵌入一個隱藏字段，令牌由服務器生成。

服務器驗證每次提交時，必須確認請求中包含的 CSRF Token 是否與服務器存儲的 Token 匹配。

ASP.NET 實現：

在 ASP.NET MVC 中，可以通過內置的 @Html.AntiForgeryToken() 方法生成 CSRF Token：

<form method="post" action="/SubmitData">

    @Html.AntiForgeryToken()

    <!-- 其他表單元素 -->

</form>

控制器中的相應動作使用 [ValidateAntiForgeryToken] 屬性進行驗證：

[HttpPost]

[ValidateAntiForgeryToken]

public ActionResult SubmitData(MyModel model)

{

    // 處理數據

}

注意事項：

所有需要保護的表單和 Ajax 請求都應包含 CSRF Token。

使用 HTTPS 加密傳輸，以防 Token 被竊取。

2. 限制請求方法

許多 CSRF 攻擊利用瀏覽器自動發出的 GET 請求。為了防止 CSRF，應該將敏感操作限定為僅通過 POST、PUT、DELETE 等請求方法完成。

在 IIS 中，可以通過 Web 配置文件 (web.config) 來限制特定路徑只允許特定的請求方法。例如：

<system.webServer>

    <security>

        <requestFiltering>

            <verbs>

                <add verb="GET" allowed="false" />

            </verbs>

        </requestFiltering>

    </security>

</system.webServer>

3. 使用 SameSite Cookie 屬性

SameSite 屬性用于指定 Cookie 在跨站請求中是否可以發送。通過設置 SameSite 屬性為 Strict 或 Lax，可以有效防止 CSRF 攻擊：

Strict：Cookie 在任何跨站請求中都不會發送。

Lax：Cookie 在某些跨站請求中（例如導航到鏈接）可以發送，但不包括表單提交和其他敏感操作。

設置 SameSite 屬性：

在 IIS 的 ASP.NET 應用程序中，你可以在 web.config 中為身份驗證 Cookie 設置 SameSite 屬性：

<system.web>

    <authentication mode="Forms">

        <forms loginUrl="~/Account/Login" protection="All" timeout="30" slidingExpiration="true" cookieless="UseCookies" cookieSameSite="Strict" />

    </authentication>

</system.web>

4. 驗證 HTTP Referer 或 Origin

CSRF 攻擊中的請求通常不會來自受信任的站點。可以通過檢查 HTTP 請求的 Referer 或 Origin 頭來驗證請求來源。

服務器只接受來自同一站點的請求：

Referer：通常會包含用戶所在頁面的 URL。

Origin：指示請求來源的主機名。

注意：檢查 Referer 或 Origin 可以作為額外的防護措施，但不能作為唯一手段，因為有時瀏覽器可能不會發送這些頭部，或者它們可以被偽造。

5. 雙重 Cookie 驗證

雙重 Cookie 驗證是一種 CSRF 防護策略，要求每個請求同時提供：

一個身份驗證的會話 Cookie。

一個在頁面中通過 JavaScript 讀取的令牌，該令牌也由服務器生成并與會話綁定。

當用戶發送請求時，服務器會同時驗證 Cookie 和頁面中的 Token。

6. 強制用戶登錄以進行敏感操作

確保敏感的操作僅在用戶登錄狀態下才可以進行，并定期要求用戶重新驗證身份，例如輸入密碼或通過兩步驗證。

7. 啟用 HTTPS

啟用 HTTPS 以確保 Cookie 和 CSRF Token 在傳輸過程中不會被竊取或篡改。HTTP 中的明文傳輸會使得攻擊者更容易進行中間人攻擊，竊取用戶會話信息。

三、在 IIS 中的配置

除了在代碼級別防護 CSRF 攻擊，你還可以在 IIS 中進一步增強安全性。

1. 啟用請求驗證

IIS 允許啟用請求驗證，阻止潛在危險的輸入。你可以通過修改 web.config 來啟用請求驗證：

<system.web>

    <pages validateRequest="true" />

</system.web>

2. 配置 URL 重寫

使用 IIS URL 重寫模塊，可以防止某些類型的跨站請求偽造。例如，禁止帶有潛在 CSRF 攻擊路徑的請求。

四、總結

防范 CSRF 攻擊需要結合多種防護措施，包括 CSRF Token、Cookie 安全設置、請求方法限制等。在 IIS 上運行的 Web 應用，應該啟用這些安全措施以減少 CSRF 攻擊的風險，同時確保 HTTPS 的使用，以保護傳輸中的敏感數據。

藍隊云官網上擁有完善的技術支持庫可供參考，大家可自行查閱，更多技術問題，可以直接咨詢。同時，藍隊云整理了運維必備的工具包免費分享給大家使用，需要的朋友可以直接咨詢。

更多技術知識，藍隊云期待與你一起探索。