Запитання з тегом «csrf»

Підробка міжміських запитів - це зловмисна атака з метою використання довіри веб-сайту до браузера користувача.


4
Чому прийнято розміщувати маркери для запобігання CSRF у файлах cookie?
Я намагаюся зрозуміти всю проблему з CSRF та відповідні способи її запобігання. (Ресурси, які я читав, розумію і погоджуюсь з: Ознайомлювальний лист OWASP CSRF , Запитання про КСРР .) Як я розумію, вразливість навколо CSRF вводиться припущенням, що (з точки зору веб-сервера) дійсне cookie-сеанс у вхідному HTTP-запиті відображає побажання автентифікованого …
284 security  cookies  web  csrf  owasp 

17
ПОПЕРЕДЖЕННЯ: Неможливо перевірити рейки справжності токена CSRF
Я надсилаю дані з виду на контролер з AJAX, і я отримав цю помилку: Попередження: Неможливо перевірити справжність маркера CSRF Думаю, я мушу надсилати цей маркер із даними. Хтось знає, як я можу це зробити? Редагувати: Моє рішення Я зробив це, поставивши наступний код у публікації AJAX: headers: { 'X-Transaction': …

20
jQuery Ajax дзвонить і Html.AntiForgeryToken ()
Я застосував у своїй програмі пом'якшення нападів на КСВР після інформації, яку я прочитав у публікації щоденника в Інтернеті. Зокрема, ці посади були рушієм мого впровадження Кращі практики для ASP.NET MVC від команди вмісту розробників ASP.NET та веб-інструментів Анатомія крос-сайтів Запит на підробку нападу з блогу Філа Хака AntiForgeryToken в …

18
Не вдалося перевірити Django CSRF із запитом Ajax POST
Я міг би скористатись допомогою, що відповідає механізму захисту Джанго CSRF через мій пост у AJAX. Я дотримувався вказівок тут: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я точно скопіював зразок коду AJAX, який є на цій сторінці: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Я поставив попередження, друкуючи вміст getCookie('csrftoken')перед xhr.setRequestHeaderвикликом, і він справді заповнений деякими даними. Я не впевнений, як …
180 python  ajax  django  csrf 

11
включити antiforgerytoken в ajax пост ASP.NET MVC
У мене проблеми з AntiForgeryToken з аяксом. Я використовую ASP.NET MVC 3. Я спробував рішення у викликах jQuery Ajax та Html.AntiForgeryToken () . Використовуючи це рішення, тепер маркер передається: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", traditional: true, …

4
Чи потрібні форми для входу в систему для атак CSRF?
З того, що я дізнався до цього часу, мета жетонів - не допустити, щоб зловмисник підробив подачу форми. Наприклад, якщо на веб-сайті була форма, яка вводила елементи у вашу кошик для покупок, а зловмисник може спамувати вашу кошик з предметами, які ви не хочете. Це має сенс, оскільки для форми …
161 php  token  csrf 

3
Де зберігати JWT у браузері? Як захистити від КСРР?
Я знаю аутентифікацію на основі файлів cookie. SSL та HttpOnly прапор можна застосувати для захисту аутентифікації на основі файлів cookie від MITM та XSS. Однак необхідно буде застосувати більш спеціальні заходи, щоб захистити її від КСВР. Вони просто трохи складні. ( довідник ) Нещодавно я виявив, що веб-маркер JSON (JWT) …

3
Розміщення міждоменної форми
Я бачив статті та публікації по всій цій темі (включаючи ТАК), і переважаючий коментар полягає в тому, що політика одного і того ж походження перешкоджає надсилати форму POST для всіх доменів. Єдине місце , де я бачив хто - то припустити , що ті ж походження політик не застосовується для …

8
Rails CSRF Protection + Angular.js: protection_from_forgery змушує мене вийти з POST
Якщо protect_from_forgeryпараметр згадується у application_controller, я можу ввійти та виконувати будь-які GET-запити, але вже на перший POST-запит Rails скидає сеанс, який виходить із системи. Я тимчасово вимкнув цю protect_from_forgeryопцію, але хотів би використовувати її з Angular.js. Чи є якийсь спосіб це зробити?

2
CSK-токен необхідний при використанні автентифікації без громадянства (= без сесії)?
Чи потрібно використовувати захист CSRF, коли програма покладається на автентифікацію без стану (використовуючи щось на зразок HMAC)? Приклад: У нас є один додаток сторінки ( в іншому випадку ми повинні додати маркер на кожному посиланні: <a href="...?token=xyz">...</a>. Користувач аутентифікує себе за допомогою POST /auth. Після успішної аутентифікації сервер поверне деякий …

18
"Сторінка минула через бездіяльність" - Laravel 5.5
Моя сторінка реєстру відображає форму належним чином, якщо {{ csrf_field() }}у формі присутній CsrfToken ( ). Форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Я використовую вбудовану автентифікацію для користувачів. Не змінили нічого, крім маршрутів та переадресацій. Коли я надсилаю форму (відразу після …
111 php  laravel  csrf  laravel-5.5 

12
Django Rest Framework видалити csrf
Я знаю, що є відповіді щодо Django Rest Framework, але я не зміг знайти рішення своєї проблеми. У мене є програма, яка має автентифікацію та певну функціональність. До нього я додав нову програму, яка використовує рамку відпочинку Django. Я хочу використовувати бібліотеку лише в цьому додатку. Також я хочу зробити …

3
Вимкніть маркер CSRF в рейках 3
У мене є програма rails, яка обслуговує деякі API для програми iPhone. Я хочу мати можливість просто публікувати на ресурсі, не замислюючись над тим, щоб отримати правильний маркер CSRF. Я спробував деякі методи, які я бачу тут у stackoverflow, але, схоже, вони більше не працюють на рейках 3. Дякую за …

2
Захист CSRF з заголовком CORS Origin проти маркера CSRF
Це питання стосується захисту лише від атак на підписи між веб-сайтами. Йдеться саме про те, чи захист через заголовок Origin (CORS) такий же хороший, як захист через маркер CSRF? Приклад: Аліса входить у систему (за допомогою файлу cookie) за допомогою свого браузера на " https://example.com ". Я припускаю, що вона …

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.