Вопросы с тегом «csrf»

Подделка межсайтовых запросов - это злонамеренная атака, целью которой является использование доверия веб-сайта к браузеру пользователя.

284
Почему в cookie-файлы принято добавлять токены предотвращения CSRF?

Я пытаюсь понять всю проблему с CSRF и соответствующие способы предотвратить это. (Ресурсы, которые я прочитал, понимаю и с которыми согласен: Шпаргалка по профилактике OWASP CSRF , Вопросы о CSRF .) Насколько я понимаю, уязвимость вокруг CSRF вводится в предположении, что (с точки зрения...

238
ВНИМАНИЕ: Невозможно проверить рельсы подлинности токена CSRF.

Я посылаю данные из представления на контроллер с AJAX, и я получил эту ошибку: ВНИМАНИЕ: Невозможно проверить подлинность токена CSRF. Я думаю, что я должен отправить этот токен с данными. Кто-нибудь знает, как я могу это сделать? Изменить: мое решение Я сделал это, поместив следующий код в...

207
JQuery Ajax вызывает и Html.AntiForgeryToken ()

Я реализовал в своем приложении защиту от CSRF-атак, следуя информации, которую я прочитал в блоге в Интернете. В частности, этот пост был драйвером моей реализации Рекомендации для ASP.NET MVC от команды разработчиков контента для ASP.NET и веб-инструментов Анатомия мошенничества с межсайтовым...

180
Сбой проверки CSRF в Django с помощью POST-запроса Ajax

Я мог бы использовать некоторую помощь в соответствии с механизмом защиты CSRF в Django через мой пост AJAX. Я следовал инструкциям здесь: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я скопировал пример кода AJAX, который есть на этой странице:...

168
включить антифоргегокен в пост ajax ASP.NET MVC

У меня проблемы с AntiForgeryToken с ajax. Я использую ASP.NET MVC 3. Я пробовал решение в вызовах jQuery Ajax и Html.AntiForgeryToken () . Используя это решение, токен теперь передается: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data,...

161
Нужны ли для входа формы токены против CSRF-атак?

Из того, что я узнал до сих пор, цель токенов - не дать злоумышленнику подделать отправку формы. Например, если на веб-сайте была форма, в которую вводились элементы, добавленные в вашу корзину, и злоумышленник мог спамить вашу корзину с элементами, которые вам не нужны. Это имеет смысл, поскольку...

159
Где хранить JWT в браузере? Как защититься от CSRF?

Я знаю аутентификацию на основе файлов cookie. SSL и флаг HttpOnly могут применяться для защиты аутентификации на основе файлов cookie от MITM и XSS. Однако для защиты от CSRF потребуются более специальные меры. Они просто немного сложны. ( ссылка ) Недавно я обнаружил, что JSON Web Token (JWT)...

145
Кросс-доменная форма POSTing

Я видел статьи и посты по всей теме (включая SO) по этой теме, и преобладающим комментарием является то, что политика одного и того же происхождения предотвращает POST формы через домены. Единственное место, где я видел, что кто-то предполагает, что политика одного и того же происхождения не...

129
Rails CSRF Protection + Angular.js: protect_from_forgery заставляет меня выйти из системы через POST

Если эта protect_from_forgeryопция упоминается в application_controller, я могу войти в систему и выполнить любые запросы GET, но при самом первом запросе POST Rails сбрасывает сеанс, в результате чего я выхожу из системы. Я protect_from_forgeryвременно отключил эту опцию, но хотел бы использовать...

125
Токен CSRF необходим при использовании аутентификации без сохранения состояния (= без сеанса)?

Нужно ли использовать защиту CSRF, если приложение использует аутентификацию без сохранения состояния (используя что-то вроде HMAC)? Пример: У нас есть одно приложение страницы ( в противном случае мы должны добавить маркер на каждой ссылке: <a href="...?token=xyz">...</a>. Пользователь...

113
Django Rest Framework удалить csrf

Я знаю, что есть ответы по поводу Django Rest Framework, но я не смог найти решения своей проблемы. У меня есть приложение с аутентификацией и некоторыми функциями. Я добавил к нему новое приложение, использующее Django Rest Framework. Я хочу использовать библиотеку только в этом приложении. Также...

111
«Срок действия страницы истек из-за бездействия» - Laravel 5.5

На моей странице регистрации форма отображается правильно, и в ней {{ csrf_field() }}присутствует CsrfToken ( )). Форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Я использую встроенную...

105
Отключить токен CSRF в рельсах 3

У меня есть приложение rails, которое обслуживает некоторые API для приложения iPhone. Я хочу иметь возможность просто публиковать сообщения на ресурсе, не заботясь о получении правильного токена CSRF. Я пробовал некоторые методы, которые я вижу здесь, в stackoverflow, но, похоже, они больше не...

103
Защита CSRF с заголовком CORS Origin по сравнению с токеном CSRF

Этот вопрос касается только защиты от атак с подделкой межсайтовых запросов. В частности, речь идет о том, насколько эффективна защита с помощью заголовка Origin (CORS) и защита с помощью токена CSRF? Пример: Алиса вошла в систему (используя cookie) в своем браузере на https://example.com . Я...

98
Как правильно добавить токен подделки межсайтовых запросов (CSRF) с помощью PHP

Я пытаюсь повысить безопасность форм на моем веб-сайте. Одна из форм использует AJAX, а другая представляет собой простую форму «свяжитесь с нами». Я пытаюсь добавить токен CSRF. Проблема, с которой я сталкиваюсь, заключается в том, что токен только иногда появляется в «значении» HTML. В остальное...

91
Недействительный токен CSRF 'null' был обнаружен в параметре запроса '_csrf' или заголовке 'X-CSRF-TOKEN'

После настройки Spring Security 3.2 _csrf.tokenне привязан к запросу или объекту сеанса. Это весенняя конфигурация безопасности: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp"...

82
rails - «ВНИМАНИЕ: не удается проверить подлинность токена CSRF» для запросов на разработку json.

Как я могу получить токен CSRF для передачи с запросом JSON? Я знаю, что по соображениям безопасности Rails проверяет токен CSRF для всех типов запросов (включая JSON / XML). Я мог бы вставить свой контроллер skip_before_filter :verify_authenticity_token, но я потеряю защиту CRSF (не рекомендуется...

82
Уязвимы ли веб-сервисы JSON для атак CSRF?

Я создаю веб-службу, которая использует исключительно JSON для своего содержимого запроса и ответа (т.е. полезные нагрузки, не закодированные в форме). Уязвима ли веб-служба для атаки CSRF, если верно следующее? Любой POSTзапрос без объекта JSON верхнего уровня, например, {"foo":"bar"}будет...