Dotnet Core Public API的安全实践

公开API的安全,其实更重要。

一、API的安全

作为一个Dotnet Core的老司机,写API时,能兼顾到API的安全,这是一种优雅。

通常,我们会用认证来保证API的安全,无敌的Authorize能解决我们很多的问题。

但是,总有一些场合,我们没办法用Authorize,而只能用匿名或不加验证的方式来访问。比方电商中查询SKU的列表并在前端展示,通常这个无关用户和权限,在完成API的时候,我们也不会加入认证Authorize

这种情况下,如果直接写,不加入安全级别,这样的体系结构是有可能成为可供利用的安全漏洞的。

Dotnet Core框架已经提供了一些常见漏洞的解决方法,包括:

  • 跨站点脚本

  • SQL注入

  • 跨站点请求伪造(CSRF)

  • 重定向

等等。

但是,我们还需要更进一步,还需要照顾到以下常见的攻击:

  • 拒绝服务(DOS)

  • 分布式拒绝服务(DDOS)

  • 批量API调用

  • 探测响应

  • 数据抓取

这部分内容,需要我们自己实现。当然,这部分内容的实现,也可以从Web Server上进行设置。

本文讨论的,是代码的实现。

二、相关代码

今天偷个懒,不讲原理,以分享代码为主。

2.1 基于IP的客户端请求限制

通过限制客户端在指定的时间范围内的请求数量,防止恶意bot攻击。

代码中,我建立了一个基于IP的请求限制过滤器。

注意:有多个客户端位于同一个IP地址的情况,这个情况在这个代码中没有考虑。如果您希望实现这一点,可以把几种方式结合起来使用。

以下是代码:

[AttributeUsage(AttributeTargets.Method)]
public class RequestLimitAttribute : ActionFilterAttribute
{public string Name { get; }public int NoOfRequest { get; set; }public int Seconds { get; set; }private static MemoryCache Cache { get; } = new MemoryCache(new MemoryCacheOptions());public RequestLimitAttribute(string name, int noOfRequest = 5, int seconds = 10){Name = name;NoOfRequest = noOfRequest;Seconds = seconds;}public override void OnActionExecuting(ActionExecutingContext context){var ipAddress = context.HttpContext.Request.HttpContext.Connection.RemoteIpAddress;var memoryCacheKey = $"{Name}-{ipAddress}";Cache.TryGetValue(memoryCacheKey, out int prevReqCount);if (prevReqCount >= NoOfRequest){context.Result = new ContentResult{Content = $"Request limit is exceeded. Try again in {Seconds} seconds.",};context.HttpContext.Response.StatusCode = (int)HttpStatusCode.TooManyRequests;}else{var cacheEntryOptions = new MemoryCacheEntryOptions().SetAbsoluteExpiration(TimeSpan.FromSeconds(Seconds));Cache.Set(memoryCacheKey, (prevReqCount + 1), cacheEntryOptions);}}
}

使用时,只要在需要的API前加属性即可:

[HttpGet]
[RequestLimit("DataGet", 5, 30)]
public IEnumerable<WeatherForecast> Get()
{...
}

2.2 引用头检查

对API请求的请求引用头进行检查,可以防止API滥用,以及跨站点请求伪造(CSRF)攻击。

同样,也是采用自定义属性的方式。

public class ValidateReferrerAttribute : ActionFilterAttribute
{private IConfiguration _configuration;public override void OnActionExecuting(ActionExecutingContext context){_configuration = (IConfiguration)context.HttpContext.RequestServices.GetService(typeof(IConfiguration));base.OnActionExecuting(context);if (!IsValidRequest(context.HttpContext.Request)){context.Result = new ContentResult{Content = $"Invalid referer header",};context.HttpContext.Response.StatusCode = (int)HttpStatusCode.ExpectationFailed;}}private bool IsValidRequest(HttpRequest request){string referrerURL = "";if (request.Headers.ContainsKey("Referer")){referrerURL = request.Headers["Referer"];}if (string.IsNullOrWhiteSpace(referrerURL)) return true;var allowedUrls = _configuration.GetSection("CorsOrigin").Get<string[]>()?.Select(url => new Uri(url).Authority).ToList();bool isValidClient = allowedUrls.Contains(new Uri(referrerURL).Authority);return isValidClient;}
}

这里我用了一个配置,在appsetting.json中:

{"CorsOrigin": ["https://test.com", "http://test1.cn:8080"]
}

CorsOrigin参数中加入允许引用的来源域名:端口列表。

使用时,在需要的API前加属性:

[HttpGet]
[ValidateReferrer]
public IEnumerable<WeatherForecast> Get()
{...
}

2.3 DDOS攻击检查

DDOS攻击在网上很常见,这种攻击简单有效,可以让一个网站瞬间开始并长时间无法响应。通常来说,网站可以通过多种节流方法来避免这种情况。

下面我们换一种方式,用中间件MiddleWare来限制特定客户端IP的请求数量。

public class DosAttackMiddleware
{private static Dictionary<string, short> _IpAdresses = new Dictionary<string, short>();private static Stack<string> _Banned = new Stack<string>();private static Timer _Timer = CreateTimer();private static Timer _BannedTimer = CreateBanningTimer();private const int BANNED_REQUESTS = 10;private const int REDUCTION_INTERVAL = 1000; // 1 second    private const int RELEASE_INTERVAL = 5 * 60 * 1000; // 5 minutes    private RequestDelegate _next;public DosAttackMiddleware(RequestDelegate next){_next = next;}public async Task InvokeAsync(HttpContext httpContext){string ip = httpContext.Connection.RemoteIpAddress.ToString();if (_Banned.Contains(ip)){httpContext.Response.StatusCode = (int)HttpStatusCode.Forbidden;}CheckIpAddress(ip);await _next(httpContext);}private static void CheckIpAddress(string ip){if (!_IpAdresses.ContainsKey(ip)){_IpAdresses[ip] = 1;}else if (_IpAdresses[ip] == BANNED_REQUESTS){_Banned.Push(ip);_IpAdresses.Remove(ip);}else{_IpAdresses[ip]++;}}private static Timer CreateTimer(){Timer timer = GetTimer(REDUCTION_INTERVAL);timer.Elapsed += new ElapsedEventHandler(TimerElapsed);return timer;}private static Timer CreateBanningTimer(){Timer timer = GetTimer(RELEASE_INTERVAL);timer.Elapsed += delegate {if (_Banned.Any()) _Banned.Pop();};return timer;}private static Timer GetTimer(int interval){Timer timer = new Timer();timer.Interval = interval;timer.Start();return timer;}private static void TimerElapsed(object sender, ElapsedEventArgs e){foreach (string key in _IpAdresses.Keys.ToList()){_IpAdresses[key]--;if (_IpAdresses[key] == 0) _IpAdresses.Remove(key);}}
}

代码中设置:1秒(1000ms)中有超过10次访问时,对应的IP会被禁用5分钟。

使用时,在Startup.cs中直接加载中间件:

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{...app.UseMiddleware<DosAttackMiddleware>();...
}

三、结尾的话

以上代码仅为抛砖引玉之用。

公开的API,未经验证的API,在生产环境会因为种种原因被攻击。这几天公司的系统就因为这个出了大事。

所以,写API的时候,要充分考虑到这些网络攻击的可能性,通过正确的处理,来防止来自网络的攻击。

这是一份责任,也是一个理念。

与大家共勉!

(全文完)

本文的代码,我已经传到Github上,位置在:https://github.com/humornif/Demo-Code/tree/master/0021/demo

喜欢就来个三连,让更多人因你而受益

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/308304.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

奇偶校验c语言ascii,奇偶校验(parity check)

parity check 奇偶校验[N] a check made of computer data to ensure that the total number of bits of value 1 (or 0) in each unit of information remains odd or even after transfer between a peripheral device and the memory or vice versa这个比较底层&#xff0c;…

基于.NetCore3.1系列 —— 日志记录之自定义日志组件

前言回顾&#xff1a;日志记录之日志核心要素揭秘在上一篇中&#xff0c;我们通过学习了解在.net core 中内置的日志记录中的几大核心要素&#xff0c;在日志工厂记录器(ILoggerFactory)中实现将日志记录提供器(ILoggerProvider)对象都可以集成到Logger对象组合中&#xff0c;这…

c语言glut打正方形,OpenGL绘制正方形并用键盘移动

准备工作&#xff1a;在OpenGL中&#xff0c;基本图形元素如点、线、折线和多边形都是由一个或多个顶点所定义。OpenGL的7种基本图元&#xff1a;WeChat77732bbab74bef94d9f34e151bce8b6e.pngWeChat26002917d9408c5eef2f9637246fd9a6.pngOpenGL绘制正方形与OpenGL绘制三角形类似…

.NET或.NET Core Web APi基于tus协议实现断点续传

【导读】前两天我采用技巧式方案基本实现大文件分片上传&#xff0c;这里只是重点在于个人思路和亲身实践&#xff0c;若在实际生产环境要求比较高的话肯定不行&#xff0c;仍存在一些问题需要深入处理&#xff0c;本文继续在之前基础上给出基于tus协议的轮子方案&#xff0c;本…

c语言 get网页,get c语言获取网页信息 - 下载 - 搜珍网

get.clinux_boa_cgic/linuxboacgic/boa移植/cgic详解.doclinux_boa_cgic/linuxboacgic/boa移植/etc/boa/boa.conflinux_boa_cgic/linuxboacgic/boa移植/etc/grouplinux_boa_cgic/linuxboacgic/boa移植/etc/passwdlinux_boa_cgic/linuxboacgic/boa移植/嵌入式boa服务器笔记.docl…

省钱攻略送上!戴尔官网OptiPlex商用台式机到手仅需2279元!速速抢购!

如何用最少的钱磕到性价比超优的设备&#xff1f;两三千元左右的价格能买到狠货吗&#xff1f;来戴尔小企业官网&#xff0c;助力业务在线&#xff0c;Slay全场&#xff01;粉丝额外宠粉福利1.关注公众号 2.通过戴尔官网客服采购电脑产品3.发送订单截图至公众号后台就会有机会…

c语言关闭控制台窗口,怎样可以屏蔽控制台程序的关闭按钮

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼//以前发过&#xff0c;再贴一次//-----------------------------------------------------#include "windows.h"#pragma comment(lib,"user32.lib")LPCRITICAL_SECTION lpDllLockNULL;#define CODE_MOV_LEN 5…

如何面对人生危机?

点击蓝字关注&#xff0c;回复“职场进阶”获取职场进阶精品资料一份一名读者提问&#xff1a;洋哥&#xff0c;我7年前从大厂出来&#xff0c;创业多年。连续失败&#xff0c;没买车也没房&#xff0c;女朋友也和我分手了&#xff0c;父母也对我失望至极。最近我开始焦虑、失眠…

考研961数据结构c语言版真题,严蔚敏数据结构C语言版考研真题库

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼严蔚敏《数据结构》(C语言版)配套题库【考研真题精选(部分视频讲解)&#xff0b;章节题库】下载来源&#xff1a;http://fangcai.100xuexi.com/Ebook/993213.html第一部分 考研真题精选(部分视频讲解)一、单项选择题1若元素a&…

不用虚机不用Docker使用Azure应用服务部署ASP.NET Core程序

一般我们写好了应用程序想要部署发布它&#xff0c;要么发布到物理机&#xff0c;要么发布到虚拟机&#xff0c;要么发布到容器来运行它。现在有了Azure应用服务&#xff0c;我们可以完全不用管这些东西&#xff0c;只管写好自己的代码&#xff0c;然后使用VisualStudio的发布功…

DEV-C上的报错 Process exited after 4.03 seconds with return value 3221225725

一&#xff1a;问题描述 还未进行任何输入&#xff0c;就直接输出 Process exited after 4.03 seconds with return value 3221225725 二&#xff1a;问题解决 问题代码&#xff1a; #include <iostream> using namespace std;int main(){int m[1000][1000];int N;ci…

数码管显示1到8c语言,单片机控制八只数码管滚动显示1~8 附PROTEUS软件仿真图

数码管显示是每一个单片机初学者都必须学的&#xff0c;而单片机驱动数码管的数字循环显示实验&#xff0c;又是单片机基础中的基础&#xff0c;同时也是学好C语言编程的关键&#xff0c;此实验在硬件上可以弄清楚单片机驱动原理和数码管的显示原理&#xff0c;在软件上可以帮助…

.NET Core + Consul 服务注册与发现

在分布式架构中&#xff0c;服务治理是必须面对的问题&#xff0c;如果缺乏简单有效治理方案&#xff0c;各服务之间只能通过人肉配置的方式进行服务关系管理&#xff0c;当遇到服务关系变化时&#xff0c;就会变得极其麻烦且容易出错。Consul[1] 是一个用来实现分布式系统服务…

c语言删除最小的j个元素,最小-最大堆的插入和删除

一、定义最小-最大堆&#xff1a;各层交替为最小层和最大层的堆。最大层&#xff1a;该层上的节点大于等于以其为根节点的子树上的所有节点。最小层&#xff1a;该层上的节点小于等于以其为根节点的子树上的所有节点。本文中&#xff0c;我们令堆的层数从1开始&#xff0c;节点…

.NET Core + Spring Cloud:API 网关

API 网关是系统的唯一入口&#xff0c;调用任何服务的请求都需要经过网关层&#xff0c;最终才可能到达目标服务&#xff0c;既然是必经之路&#xff0c;那我们可以在网关层进行一些通用的操作&#xff0c;如&#xff1a;认证、鉴权、限流、智能路由、缓存、日志、监控、超时、…

单片机C语言中空语句,单片机C语言中的空语句.doc

头文件如&#xff1a;//#include //包含库函数............//............_nop_(); //引用库函数敬礼。我一直都是借助仿真软件编。一点一点试时间。C语言最大的缺点就是实时性差,我在网上到看了一些关于延时的讨论,其中有篇文章51单片机 Keil C 延时程序的简单研究,…

VS Code 黑宝书背后的故事

自开售以来&#xff0c;《Visual Studio Code 权威指南》就受到了许多读者朋友的青睐。在京东和当当两大平台上&#xff0c;都分别取得了不错的绩&#xff1a;当当&#xff1a;计算机新书热卖榜第一名京东&#xff1a;科技IT新书榜第一名那么&#xff0c;热销背后&#xff0c;这…

c语言迪思卡尔算法,【论文】数字化的意匠_数字化设计与造型的认知学反思_谭峥.pdf...

D IG ITA L B UILD ING 数字建筑数字化的意匠—数字化设计与造型的认知学反思谭峥摘要/ 通过论述数字化设计的构成要件与理论界的思考&#xff0c; 数字化的设计、造型与工艺教育在西 基础。重呈一般是指对建成环境的物理状力图对数字化建构文化进行设计认知学角度的反思&#…

ASP.net Core MVC项目给js文件添加版本号

需求&#xff1a;使用ASP.net Core Mvc开发公司内部web系统&#xff0c;给视图中js(css,image也可以)文件添加版本号避免缓存问题。解决方法&#xff1a;利用Taghelper提供的标签&#xff08;asp-append-version&#xff09;可以实现<script src"~/Scripts/Biz/Village…

c语言网格搜索,基于C

引言教室作为学生长期使用的建筑类型&#xff0c;对光环境舒适度的需求尤为明显。相关研究表明&#xff0c;不仅照明会影响学习效率[1]&#xff0c;而且不当照明会引起使用者不适甚至损害视力[2]。随着多媒体教学设施的普及&#xff0c;幻灯片投影教学现已成为教师授课的主要形…