让你的ASP.NET Core应用程序更安全

让你的ASP.NET Core应用程序更安全

对于ASP.NET Core应用程序，除了提供认证和受权机制来保证服务的安全性，还须要考虑下面的一些安全因素：

1. CSRF
2. 强制HTTPS
3. 安全的HTTP Headers

CSRF

ASP.NET Core经过AntiForgeryToken来阻止CSRF攻击，通常来讲，当用户作表单提交的时候，表单中隐藏的token也会被提交到服务端，与此同时cookie中包含的另外一半token也被提交到服务端，服务端经过合并两份token来验证客户端的数据是否有效。
例如在ASP.NET Core中经过下面的方式渲染表单:

<form asp-controller="Manage" asp-action="ChangePassword" method="post">
   <!-- Form details -->
</form>

这样会生成下面的html，表单会包含一个隐藏的token

<form method="post" action="/Manage/ChangePassword">
  <!-- Form details -->
  <input name="__RequestVerificationToken" type="hidden" value="CfDJ8NrAkSldwD9CpLR...LongValueHere!" />
</form>

服务端的代码经过在对应的action上标记ValidateAntiForgeryToken来验证客户端的请求

public class ManageController
{
  [HttpPost]
  [ValidateAntiForgeryToken]
  public IActionResult ChangePassword()
  {
    // ...
    return View();
  }
}

是否是每一个POST请求都须要添加这样的attribute呢？
ASP.NET Core中有Filter的概念，经过添加全局Filter就能帮咱们达到这样的目的：

public class Startup
{
  public void ConfigureServices(IServiceCollection services)
  {
    services.AddMvc(options =>
    {
        options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
    });
  }
}

AutoValidateAntiforgeryTokenAttribute会自动忽略不须要作CSRF验证的请求类型，例如HttpGet请求。

强制HTTPS

为了让服务更加安全，你还能够强制用户使用https，你能够经过配置API网关的方式达到这个目的，也可使用ASP.NET Core自带的特性。

使用了RequireHttpsAttribute以后，http请求将会报错。

services.Configure<MvcOptions>(options =>
    {
        options.Filters.Add(new RequireHttpsAttribute());
    });

经过下面的方式强行跳转到https。

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    app.UseHttpsRedirection();
}

让HTTP Header更加安全

经过https://securityheaders.com/来检查HTTP Header是否是安全，例以下面的扫描结果：

NWebsec是一个用来作安全相关的ASP.NET Core类库，针对ASP.NET Core中HTTP Header相关的修复，能够添加下面的Nuget包：

NWebsec.AspNetCore.Middleware

• Strict-Transport-Security：为了告诉浏览器全部的资源都必须使用https，你须要添加这个header:

app.UseHsts(hsts => hsts.MaxAge(365));

• Redirect validation: 一旦启用了这个中间件，只能被Redirect到容许的站点, 不然会触发RedirectValidationException

app.UseRedirectValidation(opts =>
        {
            opts.AllowSameHostRedirectsToHttps();
            opts.AllowedDestinations("https://www.google.com/accounts/");
        });

• Referrer-Policy: 当用户点击了浏览器上的链接，请求报头中Referrer用来表示链接的来源，这个特性也能够用来作一些数据分析，经过Referrer-Policy能够控制是否显示Referrer:

app.UseReferrerPolicy(opts => opts.NoReferrer());

• Content-Security-Policy:内容安全策略，这个http header可让浏览器自动禁止外部注入恶意脚本，例以下面的策略将限制全部的脚本只能从同域加载：

'Content-Security-Policy': 'script-src \'self\''

下面的脚本引用将会引发浏览器报错：

<script type="text/javascript" 
src="https://cdn.bootcss.com/jquery/3.3.1/jquery.js"></script>

使用NWebsec配置Content-Security-Policy:

app.UseCsp(options => options
        .DefaultSources(s => s.Self())
        .ScriptSources(s => s.Self().CustomSources("scripts.nwebsec.com"))
        .ReportUris(r => r.Uris("/report")));

• X-XSS-Protection: 防XSS攻击设置

app.UseXXssProtection(options => options.EnabledWithBlockMode());

• X-Content-Type-Options: 若是服务器发送响应头 X-Content-Type-Options: nosniff，则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能，有助于防止基于 MIME 类型混淆的攻击。

app.UseXContentTypeOptions();

其余的安全设置参考NWebsec文档。