.NET 反向代理 YARP 跨域請(qǐng)求 CORS

　　使用過 nginx 的小伙伴應(yīng)該都知道，這個(gè)中間件是可以設(shè)置跨域的，作為今天的主角，同樣的反向代理中間件的 YARP 毫無意外也支持了跨域請(qǐng)求設(shè)置。

　　有些小伙伴可能會(huì)問了，怎樣才算是跨域呢？

　　在 HTML 中，一些標(biāo)簽，例如 img、a 等，還有我們非常熟悉的 Ajax，都是可以指向非本站的資源的，那什么是非本站呢，不同域名、不同端口、還有 http和 https，其中一個(gè)不一樣，都是屬于跨域請(qǐng)求。

　　簡(jiǎn)單來說，就是協(xié)議 + 域名 + 端口號(hào)，三者一致為同域，否則跨域。

? 　　而因?yàn)榭缬蚩赡軙?huì)被利用進(jìn)行 CSRF 攻擊，做過安全掃描的應(yīng)該對(duì)這個(gè)非常熟悉，除非被請(qǐng)求站點(diǎn)允許跨域請(qǐng)求，否則瀏覽請(qǐng)將會(huì)限制這些請(qǐng)求，而什么是 CSRF 攻擊呢，下面我摘抄一段介紹：

　　跨站請(qǐng)求偽造（英語(yǔ)：Cross-site request forgery），也被稱為 one-click attack 或者 session riding，通常縮寫為 CSRF 或者 XSRF，是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。跟跨網(wǎng)站腳本（XSS）相比，XSS 利用的是用戶對(duì)指定網(wǎng)站的信任，CSRF 利用的是網(wǎng)站對(duì)用戶網(wǎng)頁(yè)瀏覽器的信任。

攻擊細(xì)節(jié)

　　跨站請(qǐng)求攻擊，簡(jiǎn)單地說，是攻擊者通過一些技術(shù)手段欺騙用戶的瀏覽器去訪問一個(gè)自己曾經(jīng)認(rèn)證過的網(wǎng)站并運(yùn)行一些操作（如發(fā)郵件，發(fā)消息，甚至財(cái)產(chǎn)操作如轉(zhuǎn)賬和購(gòu)買商品）。由于瀏覽器曾經(jīng)認(rèn)證過，所以被訪問的網(wǎng)站會(huì)認(rèn)為是真正的用戶操作而去運(yùn)行。這利用了web中用戶身份驗(yàn)證的一個(gè)漏洞：簡(jiǎn)單的身份驗(yàn)證只能保證請(qǐng)求發(fā)自某個(gè)用戶的瀏覽器，卻不能保證請(qǐng)求本身是用戶自愿發(fā)出的。

例子

　　假如一家銀行用以運(yùn)行轉(zhuǎn)賬操作的URL地址如下：http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

那么，一個(gè)惡意攻擊者可以在另一個(gè)網(wǎng)站上放置如下代碼： <img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">

如果有賬戶名為Alice的用戶訪問了惡意站點(diǎn)，而她之前剛訪問過銀行不久，登錄信息尚未過期，那么她就會(huì)損失1000資金。

這種惡意的網(wǎng)址可以有很多種形式，藏身于網(wǎng)頁(yè)中的許多地方。此外，攻擊者也不需要控制放置惡意網(wǎng)址的網(wǎng)站。例如他可以將這種地址藏在論壇，博客等任何用戶生成內(nèi)容的網(wǎng)站中。這意味著如果服務(wù)端沒有合適的防御措施的話，用戶即使訪問熟悉的可信網(wǎng)站也有受攻擊的危險(xiǎn)。

　　透過例子能夠看出，攻擊者并不能通過CSRF攻擊來直接獲取用戶的賬戶控制權(quán)，也不能直接竊取用戶的任何信息。他們能做到的，是欺騙用戶瀏覽器，讓其以用戶的名義運(yùn)行操作。

　　言歸正傳，我們來看看 YARP 是怎么實(shí)現(xiàn) CORS 的：

1、在配置中設(shè)置跨域策略

{
  "ReverseProxy": {
    "Routes": {
      "route1" : {
        "ClusterId": "cluster1",
        "CorsPolicy": "customPolicy",//跨域策略名稱，具體策略需要在代碼中編寫，名稱大小寫不敏感
        "Match": {
          "Hosts": [ "localhost" ]
        },
      }
    },
    "Clusters": {
      "cluster1": {
        "Destinations": {
          "cluster1/destination1": {
            "Address": "https://localhost:10001/"
          }
        }
      }
    }
  }
}

　　我翻閱了資料，發(fā)現(xiàn)這個(gè)非常的無語(yǔ)（當(dāng)然可能是我沒找到，有新發(fā)現(xiàn)的大佬請(qǐng)告知一下我），配置中只是指定了跨域策略的名稱，具體的策略內(nèi)容卻沒有，而是需要在代碼里面編寫，實(shí)際上的處理，還是在 CORS 中間件上處理，還真的是能少造輪子就少造（當(dāng)然，我是非常支持這樣的理念的）。

2、在 Startup 中編寫策略

Startup.cs ConfigureServices

public void ConfigureServices(IServiceCollection services)
{
    services.AddCors(options =>
    {
        options.AddPolicy("customPolicy", builder =>
        {
            builder.AllowAnyOrigin();
        });
    });
}

　　千萬別忘了在請(qǐng)求管道里也要加上 Cors 中間件噢，需要注意的是要在 Routing 中間件后加上

public void Configure(IApplicationBuilder app)
{
    app.UseRouting();

    app.UseCors();

    app.UseEndpoints(endpoints =>
    {
        endpoints.MapReverseProxy();
    });
}

　　具體 cors 怎么用，我就不一一說了，感興趣的可以到官方文檔上看看，傳送門

　　感謝大佬們的觀看，我們下次再見，拜拜！

原文鏈接：http://www.rzrgm.cn/ysmc/p/16729550.html

posted @ 2022-09-26 01:33 一事冇誠(chéng) 閱讀(2523) 評(píng)論(0) 收藏舉報(bào)

刷新頁(yè)面返回頂部

一事冇誠(chéng)

微軟最有價(jià)值專家（微軟MVP 2023-2025）

.NET 反向代理 YARP 跨域請(qǐng)求 CORS

公告