跨站請求偽造（CSRF，Cross-Site Request forgery）是一種網絡攻擊，攻擊者通過欺騙用戶的瀏覽器，偽造用戶的請求并發送到受信任的網站，從而執行用戶未授權的操作。為了防范 CSRF 攻擊，特別是在 IIS（Internet Information Services）環境中部署的 Web 應用程序中，可以采取多種措施，確保 Web 應用的安全性。

下面是 IIS 環境下防范 CSRF 攻擊的詳細教程：

一、CSRF 攻擊原理簡述

CSRF 攻擊的核心在于利用用戶的身份驗證狀態，欺騙用戶瀏覽器去執行未授權的操作，通常包括如下步驟：

用戶登錄到一個可信網站 A，并獲得一個身份驗證 Cookie。

用戶在未登出 A 的情況下訪問攻擊者控制的惡意網站 B。

惡意網站 B 向網站 A 發送偽造的請求，借用用戶的身份驗證 Cookie，使 A 認為該請求是用戶授權的。

這種攻擊會造成嚴重的安全隱患，特別是在涉及財務交易、個人隱私和賬戶管理的操作中。

二、CSRF 的防范措施

要有效防范 CSRF 攻擊，可以通過以下措施來加強 Web 應用在 IIS 上的安全性。

1. 使用 CSRF Token

核心思想：在每個敏感操作的請求中加入一個唯一的、難以預測的令牌（Token）。該令牌與用戶會話綁定，并且只有用戶可以通過頁面提交合法請求時獲得這個令牌，攻擊者無法獲取。

實現步驟：

每次生成一個包含 CSRF Token 的表單頁面時，在表單中嵌入一個隱藏字段，令牌由服務器生成。

服務器驗證每次提交時，必須確認請求中包含的 CSRF Token 是否與服務器存儲的 Token 匹配。

ASP.NET 實現：

在 ASP.NET mvc 中，可以通過內置的 @html.AntiforgeryToken() 方法生成 CSRF Token：

    @html.AntiforgeryToken()

控制器中的相應動作使用 [ValidateAntiforgeryToken] 屬性進行驗證：

[httpPost]

[ValidateAntiforgeryToken]

public ActionResult SubmitData(MyModel model)

{

    // 處理數據

}

注意事項：

所有需要保護的表單和 Ajax 請求都應包含 CSRF Token。

使用 httpS 加密傳輸，以防 Token 被竊取。

2. 限制請求方法

許多 CSRF 攻擊利用瀏覽器自動發出的 GET 請求。為了防止 CSRF，應該將敏感操作限定為僅通過 POST、PUT、delete 等請求方法完成。

在 IIS 中，可以通過 Web 配置文件 (web.config) 來限制特定路徑只允許特定的請求方法。例如：

3. 使用 SameSite Cookie 屬性

SameSite 屬性用于指定 Cookie 在跨站請求中是否可以發送。通過設置 SameSite 屬性為 Strict 或 Lax，可以有效防止 CSRF 攻擊：

Strict：Cookie 在任何跨站請求中都不會發送。

Lax：Cookie 在某些跨站請求中（例如導航到鏈接）可以發送，但不包括表單提交和其他敏感操作。

設置 SameSite 屬性：

在 IIS 的 ASP.NET 應用程序中，你可以在 web.config 中為身份驗證 Cookie 設置 SameSite 屬性：

4. 驗證 http Referer 或 Origin

CSRF 攻擊中的請求通常不會來自受信任的站點。可以通過檢查 http 請求的 Referer 或 Origin 頭來驗證請求來源。

服務器只接受來自同一站點的請求：

Referer：通常會包含用戶所在頁面的 URL。

Origin：指示請求來源的主機名。

注意：檢查 Referer 或 Origin 可以作為額外的防護措施，但不能作為唯一手段，因為有時瀏覽器可能不會發送這些頭部，或者它們可以被偽造。

5. 雙重 Cookie 驗證

雙重 Cookie 驗證是一種 CSRF 防護策略，要求每個請求同時提供：

一個身份驗證的會話 Cookie。

一個在頁面中通過 JavaScript 讀取的令牌，該令牌也由服務器生成并與會話綁定。

當用戶發送請求時，服務器會同時驗證 Cookie 和頁面中的 Token。

6. 強制用戶登錄以進行敏感操作

確保敏感的操作僅在用戶登錄狀態下才可以進行，并定期要求用戶重新驗證身份，例如輸入密碼或通過兩步驗證。

7. 啟用 httpS

啟用 httpS 以確保 Cookie 和 CSRF Token 在傳輸過程中不會被竊取或篡改。http 中的明文傳輸會使得攻擊者更容易進行中間人攻擊，竊取用戶會話信息。

三、在 IIS 中的配置

除了在代碼級別防護 CSRF 攻擊，你還可以在 IIS 中進一步增強安全性。

1. 啟用請求驗證

IIS 允許啟用請求驗證，阻止潛在危險的輸入。你可以通過修改 web.config 來啟用請求驗證：

2. 配置 URL 重寫

使用 IIS URL 重寫模塊，可以防止某些類型的跨站請求偽造。例如，禁止帶有潛在 CSRF 攻擊路徑的請求。

四、總結

防范 CSRF 攻擊需要結合多種防護措施，包括 CSRF Token、Cookie 安全設置、請求方法限制等。在 IIS 上運行的 Web 應用，應該啟用這些安全措施以減少 CSRF 攻擊的風險，同時確保 httpS 的使用，以保護傳輸中的敏感數據。