Вопросы с тегом «csrf»

Я пишу приложение (Django, так оно и происходит), и я просто хочу понять, что такое «токен CSRF» и как он защищает данные. Являются ли почтовые данные небезопасными, если вы не используете токены...

Я пытаюсь понять всю проблему с CSRF и соответствующие способы предотвратить это. (Ресурсы, которые я прочитал, понимаю и с которыми согласен: Шпаргалка по профилактике OWASP CSRF , Вопросы о CSRF .) Насколько я понимаю, уязвимость вокруг CSRF вводится в предположении, что (с точки зрения...

Я посылаю данные из представления на контроллер с AJAX, и я получил эту ошибку: ВНИМАНИЕ: Невозможно проверить подлинность токена CSRF. Я думаю, что я должен отправить этот токен с данными. Кто-нибудь знает, как я могу это сделать? Изменить: мое решение Я сделал это, поместив следующий код в...

Я реализовал в своем приложении защиту от CSRF-атак, следуя информации, которую я прочитал в блоге в Интернете. В частности, этот пост был драйвером моей реализации Рекомендации для ASP.NET MVC от команды разработчиков контента для ASP.NET и веб-инструментов Анатомия мошенничества с межсайтовым...

Я мог бы использовать некоторую помощь в соответствии с механизмом защиты CSRF в Django через мой пост AJAX. Я следовал инструкциям здесь: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я скопировал пример кода AJAX, который есть на этой странице:...

У меня проблемы с AntiForgeryToken с ajax. Я использую ASP.NET MVC 3. Я пробовал решение в вызовах jQuery Ajax и Html.AntiForgeryToken () . Используя это решение, токен теперь передается: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data,...

Из того, что я узнал до сих пор, цель токенов - не дать злоумышленнику подделать отправку формы. Например, если на веб-сайте была форма, в которую вводились элементы, добавленные в вашу корзину, и злоумышленник мог спамить вашу корзину с элементами, которые вам не нужны. Это имеет смысл, поскольку...

Я знаю аутентификацию на основе файлов cookie. SSL и флаг HttpOnly могут применяться для защиты аутентификации на основе файлов cookie от MITM и XSS. Однако для защиты от CSRF потребуются более специальные меры. Они просто немного сложны. ( ссылка ) Недавно я обнаружил, что JSON Web Token (JWT)...

Я видел статьи и посты по всей теме (включая SO) по этой теме, и преобладающим комментарием является то, что политика одного и того же происхождения предотвращает POST формы через домены. Единственное место, где я видел, что кто-то предполагает, что политика одного и того же происхождения не...

Если эта protect_from_forgeryопция упоминается в application_controller, я могу войти в систему и выполнить любые запросы GET, но при самом первом запросе POST Rails сбрасывает сеанс, в результате чего я выхожу из системы. Я protect_from_forgeryвременно отключил эту опцию, но хотел бы использовать...

Нужно ли использовать защиту CSRF, если приложение использует аутентификацию без сохранения состояния (используя что-то вроде HMAC)? Пример: У нас есть одно приложение страницы ( в противном случае мы должны добавить маркер на каждой ссылке: <a href="...?token=xyz">...</a>. Пользователь...

Я знаю, что есть ответы по поводу Django Rest Framework, но я не смог найти решения своей проблемы. У меня есть приложение с аутентификацией и некоторыми функциями. Я добавил к нему новое приложение, использующее Django Rest Framework. Я хочу использовать библиотеку только в этом приложении. Также...

На моей странице регистрации форма отображается правильно, и в ней {{ csrf_field() }}присутствует CsrfToken ( )). Форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Я использую встроенную...

У меня есть приложение rails, которое обслуживает некоторые API для приложения iPhone. Я хочу иметь возможность просто публиковать сообщения на ресурсе, не заботясь о получении правильного токена CSRF. Я пробовал некоторые методы, которые я вижу здесь, в stackoverflow, но, похоже, они больше не...

Этот вопрос касается только защиты от атак с подделкой межсайтовых запросов. В частности, речь идет о том, насколько эффективна защита с помощью заголовка Origin (CORS) и защита с помощью токена CSRF? Пример: Алиса вошла в систему (используя cookie) в своем браузере на https://example.com . Я...

Я пытаюсь повысить безопасность форм на моем веб-сайте. Одна из форм использует AJAX, а другая представляет собой простую форму «свяжитесь с нами». Я пытаюсь добавить токен CSRF. Проблема, с которой я сталкиваюсь, заключается в том, что токен только иногда появляется в «значении» HTML. В остальное...

После настройки Spring Security 3.2 _csrf.tokenне привязан к запросу или объекту сеанса. Это весенняя конфигурация безопасности: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp"...

Я установил Laravel 5.7 Добавил форму в файл \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Добавлено в файл \routes\web.php Route::post('/foo', function ()...

Как я могу получить токен CSRF для передачи с запросом JSON? Я знаю, что по соображениям безопасности Rails проверяет токен CSRF для всех типов запросов (включая JSON / XML). Я мог бы вставить свой контроллер skip_before_filter :verify_authenticity_token, но я потеряю защиту CRSF (не рекомендуется...

Я создаю веб-службу, которая использует исключительно JSON для своего содержимого запроса и ответа (т.е. полезные нагрузки, не закодированные в форме). Уязвима ли веб-служба для атаки CSRF, если верно следующее? Любой POSTзапрос без объекта JSON верхнего уровня, например, {"foo":"bar"}будет...