ASP.NET MVC Tip #46 – 勿使用Delete链接，会造成安全漏洞

 

          看到篇文章，里面说了个不知道的事儿，很粗糙生硬的翻了一下，记在这里，回头研究。

          路过的朋友，如感兴趣，请直接看原文，以免耽误了您的时间。

           原文ASP.NET MVC Tip #46 – Don’t use Delete Links because they create Security Holes

正文

        我创建了一个 ASP.NET MVC 示例程序， 打算公布在 http://ww.ASP.net/mvc . 当 ASP.NET MVC 专题小组对该程序进行代码审查时 , 一个惊人的缺陷显现出来.

        该程序极其简单。它包含了一个呈现数据库记录列表的视图。每条记录下面是一个Edit链接和一个Delete链接（见图1）。很标准的东西。或者，所以我想...

图1-- 一个数据库记录表格

        这里就是缺陷。你不应该用链接来删除一条记录。使用Delete链接就打开了一个安全漏洞。

      安全缺陷

         某人可以发一封包含一个image的邮件给你。该image通过如下标签被嵌入到邮件中：

         <img src=”http://www.theApp.com/Home/Delete/23” _fcksavedurl=””http://www.theApp.com/Home/Delete/23”” />

        注意，src属性指向了Home控制器类的Delete() 方法。打开邮件（并且允许邮件客户端显示image)将在无警告的情况下删除23号记录。这是不好的。这是安全漏洞。

        我曾经遇到过这种安全问题，但没有多想。REST纯粹主义者会捍卫Get请求不应该改变程序状态的想法。换句话说，执行Get请求应该是安全的，无副作用的。

        比如，您不会希望搜索引擎在抓取您网站的时候删除您程序中的所有记录。执行Get请求不应该对您的程序有持久性影响。

        删除一条记录的时候，适当的Http操作是 HTTP DELETE。HTTP 协议支持如下HTTP操作：

       .OPITIONS - 返回可用的通信可选项的信息（幂等）。

       .GET -  返回请求的任何信息（幂等）。

       .HEAD - 与 GET 执行同样的操作，只是没有消息体（幂等）。

       .POST - 发布新信息或更新已有信息（非幂等）。

       .PUT - 发布新信息或更新已有信息（幂等）。

       .DELETE - 删除信息（幂等）。

       .TRACE - 执行一个消息循环 （幂等）。

       .CONNECT -  用于SSL通道。

        这些操作被定义为HTTP 1.1 标准的一部分，您可以在这里http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html看到.

        注意，对 HTTP POST 和 HTTP PUT 的描述是相同的。为了解 POST 和 PUT 的区别，你需要明白幂等的含义。一个幂等操作无论执行多少次，都有相同的结果。比如，您执行一个POST操作来创建一条新的数据库记录，那么您每次都可以创建一条新的数据库记录。POST操作是非幂等的，因为每次操作的执行都会对您的程序有不同影响。

        另一方面，如果您执行PUT操作，那么操作的执行都必须创建相同的数据库记录。PUT 操作是幂等的，应为执行PUT操作1000次与执行1次是一样的。

        注意，HTTP DELETE 操作也是幂等的。多次执行HTTP DELETE 操作对您程序的影响应该是相同的。比如，请求 /Home/Delete/23 应该删除23号数据库记录，而不是其他记录，无论请求执行多少次。

        HTML 只支持 GET和POST

      所以，删除一条数据库记录时，恰当的做法是执行HTTP DELETE操作。执行一个HTTP DELETE操作不会打开安全漏洞，且不违背REST原则。

       不幸的是，标准的HTML不支持GET、POST外的其他操作。链接总是执行GET操作，表单能执行GET或POST操作。HTML不支持其他的HTTP操作。

      根据HTML 3.1 规范，HTML只支持GET和POST。参见http://www.w3.org/TR/REC-html32.html#form。此外，IE只支持GET和POST。参见http://msdn.microsoft.com/en-us/library/ms534167(VS.85).aspx。

       执行 Ajax Deletes

     如果您想超越标准HTML，您可以利用Ajax来执行HTTP DELETE操作。XmlHttpRequest对象支持任何HTTP操作。因此，如果您愿意您的程序依赖于Javascript，您可以以正确的方式做一切。

      清单1中的Home 控制器包含Index()和Delete()方法。Index()方法从Movies数据库返回所有的movies，Delete()方法通过特定的Id删除特定的movie（此控制器使用Entity Framework）。

清单1 - ControllersHomeController.cs 

using System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Web.Mvc;using Tip46.Models; namespace Tip46.Controllers{    [HandleError]    public class HomeController : Controller    {        private MoviesDBEntities _entities = new MoviesDBEntities();         public ActionResult Index()        {            ViewData.Model = _entities.MovieSet.ToList();            return View();        }         [AcceptVerbs(HttpVerbs.Delete)]        public ActionResult Delete(int id)        {            var movieToDelete = (from m in _entities.MovieSet                                 where m.Id == id                                 select m).FirstOrDefault();            _entities.DeleteObject(movieToDelete);            _entities.SaveChanges();             return RedirectToAction("Index");        }     }}

         注意，Delete()方法声明了AcceptVerbs特性。Delete()方法只能被HTTP DELETE操作调用。

        清单2中的Index视图通过HTML table显示来自Movies数据库表中的数据。每个movie记录下呈现一个Delete链接。

清单2 - ViewsHomeIndex.aspx

<%@ Page Title="" Language="C#" MasterPageFile="~/Views/Shared/Site.Master" Inherits="System.Web.Mvc.ViewPage<IEnumerable<Tip46.Models.Movie>>" %><asp:Content ID="Content1" ContentPlaceHolderID="MainContent" runat="server"> <script src="../../Scripts/MicrosoftAjax.js" type="text/javascript"></script> <script type="text/javascript">     function deleteRecord(recordId)    {        // Perform delete        var action = "/Home/Delete/" + recordId;         var request = new Sys.Net.WebRequest();        request.set_httpVerb("DELETE");        request.set_url(action);        request.add_completed(deleteCompleted);        request.invoke();    }     function deleteCompleted()    {        // Reload page        window.location.reload();    } </script> <h2>Index</h2>     <table>     <% foreach (var item in Model) { %>         <tr>            <td>                <%-- Ajax Delete --%>                <a onclick="deleteRecord(<%= item.Id %>)" href="JavaScript:void(0)">Delete</a>                 <%-- GET Delete: Security Hole                <%= Html.ActionLink("Delete", "Delete", new { id=item.Id })%>--%>            </td>            <td>                <%= Html.Encode(item.Id) %>            </td>            <td>                <%= Html.Encode(item.Title) %>            </td>            <td>                <%= Html.Encode(item.Director) %>            </td>            <td>                <%= Html.Encode(item.DateReleased) %>            </td>         </tr>     <% } %>     </table> </asp:Content>

        Delete通过Ajax调用执行。Delete链接调用Javascript deleteRecord()函数。该函数使用 Microsoft ASP.NET AJAX WebRequest 对象来执行Ajax调用。该WebRequest对象执行HTTP DELETE操作。

        Delete操作执行完毕后，Javascript deleteCompleted()方法被调用。该方法重新加载了当前页面（这里将来会有一个更优雅的方式是使用下一个ASP.NET Ajax版本带来的ASP.NET Ajax模板功能，那样的话就只更新表格，而不用重新加载整个页面了）。

图2 - Index 视图

        但是，我不想依赖于Javascript

       很多开发人员不想自己的网站依赖于Javacript。回句话说，他们希望Javascript被关闭时，他们的网站一样可以工作。他们的需求是有些合理性的。不是所有移动设备都支持Javascript（尽管大多数做到了），并且Javascript还有可访问性问题（尽管Aria应该修正这些可访问性问题）。

        如果您想自己的网站在Javascript被禁用时能工作，那么删除记录时，不能执行HTTP DELETE操作。而应该执行HTTP POST操作，HTTP POST不会像HTTP GET那样暴露出安全漏洞。

        您可以使用AcceptVerbs特性来防止控制器动作被HTTP POST之外的操作调用。所以， Delete()动作看起来应该是这样的：

[AcceptVerbs(HttpVerbs.Post)]public ActionResult Delete(int id){    var movieToDelete = (from m in _entities.MovieSet                         where m.Id == id                         select m).FirstOrDefault();    _entities.DeleteObject(movieToDelete);    _entities.SaveChanges();     return RedirectToAction("Index");}

       不幸的是，通过标准HTML来执行HTTP POST操作的唯一途径是使用<form>标签。并且，您必须还用一个<input type="submit">，<input type="image">，或者<input type="button">标签来为删除记录创建一个按钮。

       这里最好的选择是<input type="image">。那样的话，您可以在展示数据库记录表格时，使得Edit和Delete链接看起来一样。因为我不想我的示例程序依赖于Javascript，所以我打算采用此方式。

       清单3中是无Javascript依赖的Index视图。

清单3 - ViewsHomeIndex.aspx (无 JavaScript)

<%@ Page Title="" Language="C#" MasterPageFile="~/Views/Shared/Site.Master" Inherits="System.Web.Mvc.ViewPage<IEnumerable<Tip46.Models.Movie>>" %><asp:Content ID="Content1" ContentPlaceHolderID="MainContent" runat="server"><h2>Index</h2>     <table>     <% foreach (var item in Model) { %>         <tr>            <td>                <a href='<%= Url.Action("Edit", "Home", new { id = item.Id })%>'><img src="Content/Edit.png" alt="edit" border="0" /></a>            </td>            <td>                <% using (Html.BeginForm("Delete", "Home", new { id = item.Id }))                   { %>                    <input type="image" src="Content/Delete.png" />                <% } %>            </td>            <td>                <%= Html.Encode(item.Id) %>            </td>            <td>                <%= Html.Encode(item.Title) %>            </td>            <td>                <%= Html.Encode(item.Director) %>            </td>            <td>                <%= Html.Encode(item.DateReleased) %>            </td>         </tr>     <% } %>     </table>     <p>        <%= Html.ActionLink("Create New", "Create") %>    </p> </asp:Content>

        我从Visual Studio 图片库中获取了为Edit和Delete链接使用的图片（见图3）。您可以在您硬盘的这个位置拿到这些图片集：

C:Program FilesMicrosoft Visual Studio 9.0Common7VS2008ImageLibrary

       

图3 - 为Edit和Delete使用图片

        为使图片正确对齐，我为表格单元格增加了垂直对齐的样式。我使用了下面的样式：

table{  border-collapse:collapse;} td{  vertical-align:top;  padding:10px;  border-bottom: solid 1px black;}

        结论

        不要使用Delete链接来删除数据库记录。潜在的，可能有人在您未知情的情况下通过执行GET请求来删除。

        最好的选择是使用Javascript来执行HTTP DELETE 操作。使用Javascript能让您避开安全漏洞。使用Javascript可以让您最终HTTP协议的语义。

        如果您不想您的程序依赖于Javascript，那第二个最好的选择执行HTTP POST来替代HTTP DELETE。执行HTML POST 需要您使用HTML表单。这个是丑陋的，然而，您可以通过使用<input type="image">并添加样式表来改进外观。