Laufzeit laden von ValidateAntiForgeryToken Salt-Wert

Betrachten ASP.NET MVC-Anwendung mit der Salt parameter in der [ValidateAntiForgeryToken] Richtlinie.

Das Szenario ist so, dass die app wird von vielen Kunden. Es ist nicht sehr wünschenswert, die Salt zur Kompilierzeit bekannt ist.

Die aktuelle Strategie ist das suchen der Salt-Wert in der web.config.

[ValidateAntiForgeryToken(Salt = Config.AppSalt)]
//Config.AppSalt is a static property that reads the web.config.

Dies führt zu einem compile-Zeit-Ausnahme, was darauf hindeutet, dass die Salt muss eine Konstante zur compile-Zeit.

Attribut-argument muss ein konstanter Ausdruck sein, typeof-Ausdruck oder ein array creation expression eines Attributs parameter Typ

Wie kann ich änderungen an der Anwendung zu ermöglichen, für eine Laufzeit laden der Salt so, dass die app nicht erneut gesalzen und neu kompiliert werden für jedem Kunden?

Berücksichtigen, dass die Salt ändern nicht Häufig, wenn überhaupt, so dass die Möglichkeit der Aufhebung von form

  • Als Levi die Microsoft MVC security-Leute-Staaten, brauchen Sie nicht, dies zu tun.
InformationsquelleAutor p.campbell | 2010-06-08
  1. 6

    Salz-Eigenschaft gemeint ist eine Compilezeit-Konstante. Es ist einfach eine Möglichkeit zum verknüpfen einer bestimmten form zu einer bestimmten Handlung-Methode. Zum Beispiel, wenn Sie ein login-Formular, die Sie verwenden möchten, das Salz "Login" für diese bilden, so dass ein token, das war gültig für die login-form nicht verwendet werden können, für die das Passwort ändern, etc.

    In allen Fällen, die app-machine-Taste, wird automatisch als zusätzliche - salt-Wert. So ein anti-XSRF-token für eine Anwendung können nicht verwendet werden, für eine andere Anwendung, auch dann, wenn die Salz-Werte Lesen "Login". Die Maschine Schlüssel ist einstellbar in Web.config <machineKey> Abschnitt.

    • Wenn ich ein login-form brauche ich nicht, anti-Fälschung Schutz an alle, kann ich? Da der Benutzer noch nicht authentifiziert und es ist noch nichts zu schützen, aus.
    • Wenn Sie nicht schützen Sie das login-Formular, sind Sie möglicherweise offen für Login-CSRF. Siehe en.wikipedia.org/wiki/CSRF#Forging_login_requests für mehr Informationen. (Edit: die 'Salt' - Eigenschaft wurde entfernt MVC 4, da die meisten Anwendungen nicht benötigt wird. Siehe Dokumentation für weitere Informationen, wenn Sie es nutzen waren.)
    • Danke, interessant. Aber laut dem Artikel ist es nur möglich, im Rahmen von Flash - (crossdomain.xml), "normale" Websites sind nicht betroffen?
    • Login CSRF nicht benötigen Flash. Darunter ein crossdomain.xml die Datei wird verhindern, dass Flash-exploits (das ist, warum es unter den 'Gegenmaßnahmen' überschrift), aber ein Angreifer kann immer noch die regelmäßige CSRF (und login-CSRF) - Angriffe mit normalen Javascript.
    • Sorry, verstehe ich nicht. CSRF ist "eine Art von bösartigen Angreifer eine website, wodurch nicht autorisierte Befehle übertragen werden, die aus ein Benutzer, der die website-Vertrauensstellungen". Vertraut ein Benutzer authentifiziert werden muss. Kannst du bitte ein link wo der Angriff auf den regulären login - /Passwort-Formular wird im einzelnen beschrieben?
    InformationsquelleAutor Levi
  2. 6

    Hatte ich die Anforderung, verschiedene Salze, die für verschiedene Kunden. In diesem Fall habe ich Dixin-Lösung für die Injektion der Salz-zur Laufzeit.

    Anti-Forgery-Request-Rezepte Für ASP.NET MVC und AJAX in dem Abschnitt mit dem Titel "Geben Sie nicht-Konstanten Salz in der runtime".

    Dekorieren Sie Ihre Controller mit einem neuen Attribut:

    [ValidateAntiForgeryTokenWrapper(HttpVerbs.Post)]
public class ProductController : Controller
{     
    //Only HTTP POST requests are validated.
}

    Dieses neue Attribut ist definiert als:

    public class ValidateAntiForgeryTokenWrapperAttribute : FilterAttribute, IAuthorizationFilter
{
    public ValidateAntiForgeryTokenWrapperAttribute(HttpVerbs verbs)
    {
        this._verbs = new AcceptVerbsAttribute(verbs);
        this._validator = new ValidateAntiForgeryTokenAttribute()
            {
                //load from web.config or anywhere else
                Salt = Configurations.AntiForgeryTokenSalt
            };
    }

    //Other members.
}
    • sehr schöner Beitrag 🙂
    InformationsquelleAutor p.campbell
Schreibe einen Kommentar