跳到主要內容

C# CSRF attribute 的錯誤追蹤與處理

最近開發網站碰到一個問題,有時候可以登入成功,有時候不行。但明明帳密都是 Google 記憶的,不可能打錯帳號密碼。後來猜想到是 CSRF 認證的問題,由於網站是透過 k8s 建立的,且 replicas: 2。很大可能性是因為拿 token 是跟 A Pod 拿,但登入是跟 B pod 登入,造成 token 無法驗證成功。

想證明這個問題,我們必須去紀錄 Log,由於我們是透過 C# 的 ValidateAntiForgeryToken Attribute 實作 CSRF 的防禦,因此一開始想法是寫一個 ExceptionFilter 去攔截例外。但發現無法攔截 CSRF 的問題。後來找了一段時間發現,CSRF 並不是丟出例外,而是結果回覆 HttpStatusCode 400。查到可實作 IAlwaysRunResultFilter 攔截結果,並判斷是否是 IAntiforgeryValidationFailedResult 的一種。

程式碼如下: 

        public void OnResultExecuting(ResultExecutingContext context)
        {
            if (context.Result is IAntiforgeryValidationFailedResult result)
            {
                // Log here
            }
        }
但是這樣還不夠。還必須要強制關閉客戶端錯誤的轉換才行,這樣才可以精準的把結果視為 IAntiforgeryValidationFailedResult

至於怎麼關閉則是在註冊 MVC 服務的時候設定 Config SuppressMapClientErrors = true 即可。 

    services.AddMvc().ConfigureApiBehaviorOptions(options =>
        {
                    options.SuppressMapClientErrors = true;
        });
詳細可以參考 MSDN

標籤

標籤:

留言

張貼留言

這個網誌中的熱門文章

Multiple without multication or addition operator

Given two binary strings, return their sum (also a binary string). For example, a = "1101" // 13 b = "1000" // 8 Return “1101000”. // 104 Solution: implement Binary add to perform multication static int MultipleWithoutOperator(int num, int multiplier) { StringBuilder sb = new StringBuilder(); string binary = Convert.ToString(num, 2); string binaryMultiplier = Convert.ToString(multiplier, 2); string temp = ""; for (int i = binaryMultiplier.Length-1, j=0;i >= 0;i--,j++){ if (binaryMultiplier[i]=='1') { if (string.IsNullOrEmpty(temp)) { temp = binary.PadRight(binary.Length + j, '0'); } else { temp = BinaryAdd(temp, binary.PadRight(binary.Length + j, '0')); } } } return Convert.ToInt32(temp, 2); } static string BinaryAdd(string a, string b) { int carryover = 0; Stri...
張貼留言
閱讀完整內容

刻意練習

學習效率 想要多花點時間學習,但常常覺得沒有效果。最近這樣的想法困擾著我,剛好公司內部在提倡導師文化,而我的導師是公司比較資深的員工。因此就在與導師每天的會面提出了這樣的問題。 首先導師先詢問我是怎麼學習的,我就提出我現在嘗試著花時間來寫部落格,統整自己的想法,彙整自己的一些技能跟知識。另外希望每個月可以看一本書,可以提升自己程式能力並且立即用在工作上。但事實上進公司已經三個月了,很多書其實都沒有看完,可能看了一些內容又轉換去看了其他書。又或者某些看完的書的內容,現在也有點模糊,並沒有真正的內化為自己的能力,效率真的很差。 因此導師提出了他的想法,簡單的說就是每天固定時間固定長度逼自己看書。每天如果都做自己會的事情,或是做平常就會做的事情是很難進步的。因此要刻意的讓自己在固定的時間固定的長度來學習,這種比較刻意的學習是比較有用的。如果只是給自己一個一個月要看完一本書的期許,通常過了一個月這件事情不會發生,而且就算發生了或許效果也打折扣。不如每天都讓自己抽出時間來做,每天固定學習幾頁,這樣一個月過去一本書也可以看完。這個想法的確比較踏實。畢竟時間就是這樣不構,而且平常生活比較放鬆,時間顆粒太大了。覺得找不到時間來看書與學習。所以打算給自己一個課題,每天看三十分鐘的書,每天寫15分鐘的部落格。不管是不是有寫到一個段落,或是有足夠長的時間來做。給自己隨時計時,隨時累計,只要累計超過這個時間就可以停止。希望讓自己可以在固定的TimeBox中學習念更多書,或是寫更多部落格內容。 刻意練習 這些觀念跟最近看的一本書有一樣的觀念,而這觀念在很多地方都有,今天中午同事在看的影片也在提。這個影片是邏輯思維的羅胖在講解如何成為高手,他說到學習就是要學習套路,任何人都是學習以前的人歸納的重點,舉例來說,古代的人要顯示自己很有知識都是要背詩經,孔子:不知詩無以言。在科學上也是如此,了解一些定律,根據這些前人累積的套路作為基礎,然後繼續發展。 但學習不僅僅是知道拿前人的經驗作為基底,更重要的事情是要能及時反饋,越快得到反饋越好。如果可以刻意的練習然後修正,這樣的效果是最好的。除了反饋即時性以外,還有要脫離舒適圈。舒適圈就是每個人很熟系的環境,在這個環境不管做什麼都不太需要思考,也因此沒有效果。例如一個計程車司機開車開了十年,或許開車技術上還過得去,但...
張貼留言
閱讀完整內容