Запитання з тегом «csrf»

Я пишу заявку (Django, так трапляється) і просто хочу уявити, що насправді є "токеном CSRF" і як він захищає дані. Чи не є безпечними дані публікації, якщо ви не використовуєте маркери CSRF?

628 csrf 

Я намагаюся зрозуміти всю проблему з CSRF та відповідні способи її запобігання. (Ресурси, які я читав, розумію і погоджуюсь з: Ознайомлювальний лист OWASP CSRF , Запитання про КСРР .) Як я розумію, вразливість навколо CSRF вводиться припущенням, що (з точки зору веб-сервера) дійсне cookie-сеанс у вхідному HTTP-запиті відображає побажання автентифікованого …

284 security  cookies  web  csrf  owasp 

Я надсилаю дані з виду на контролер з AJAX, і я отримав цю помилку: Попередження: Неможливо перевірити справжність маркера CSRF Думаю, я мушу надсилати цей маркер із даними. Хтось знає, як я можу це зробити? Редагувати: Моє рішення Я зробив це, поставивши наступний код у публікації AJAX: headers: { 'X-Transaction': …

238 ruby-on-rails  jquery  csrf 

Я застосував у своїй програмі пом'якшення нападів на КСВР після інформації, яку я прочитав у публікації щоденника в Інтернеті. Зокрема, ці посади були рушієм мого впровадження Кращі практики для ASP.NET MVC від команди вмісту розробників ASP.NET та веб-інструментів Анатомія крос-сайтів Запит на підробку нападу з блогу Філа Хака AntiForgeryToken в …

207 asp.net-mvc  ajax  asp.net-mvc-2  csrf  antiforgerytoken 

Я міг би скористатись допомогою, що відповідає механізму захисту Джанго CSRF через мій пост у AJAX. Я дотримувався вказівок тут: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я точно скопіював зразок коду AJAX, який є на цій сторінці: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Я поставив попередження, друкуючи вміст getCookie('csrftoken')перед xhr.setRequestHeaderвикликом, і він справді заповнений деякими даними. Я не впевнений, як …

180 python  ajax  django  csrf 

У мене проблеми з AntiForgeryToken з аяксом. Я використовую ASP.NET MVC 3. Я спробував рішення у викликах jQuery Ajax та Html.AntiForgeryToken () . Використовуючи це рішення, тепер маркер передається: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", traditional: true, …

168 asp.net  ajax  asp.net-mvc  asp.net-mvc-3  csrf 

З того, що я дізнався до цього часу, мета жетонів - не допустити, щоб зловмисник підробив подачу форми. Наприклад, якщо на веб-сайті була форма, яка вводила елементи у вашу кошик для покупок, а зловмисник може спамувати вашу кошик з предметами, які ви не хочете. Це має сенс, оскільки для форми …

161 php  token  csrf 

Я знаю аутентифікацію на основі файлів cookie. SSL та HttpOnly прапор можна застосувати для захисту аутентифікації на основі файлів cookie від MITM та XSS. Однак необхідно буде застосувати більш спеціальні заходи, щоб захистити її від КСВР. Вони просто трохи складні. ( довідник ) Нещодавно я виявив, що веб-маркер JSON (JWT) …

159 security  authentication  cookies  csrf  jwt 

Я бачив статті та публікації по всій цій темі (включаючи ТАК), і переважаючий коментар полягає в тому, що політика одного і того ж походження перешкоджає надсилати форму POST для всіх доменів. Єдине місце , де я бачив хто - то припустити , що ті ж походження політик не застосовується для …

145 html  security  http  csrf  same-origin-policy 

Якщо protect_from_forgeryпараметр згадується у application_controller, я можу ввійти та виконувати будь-які GET-запити, але вже на перший POST-запит Rails скидає сеанс, який виходить із системи. Я тимчасово вимкнув цю protect_from_forgeryопцію, але хотів би використовувати її з Angular.js. Чи є якийсь спосіб це зробити?

129 ruby-on-rails  angularjs  csrf  protect-from-forgery 

Чи потрібно використовувати захист CSRF, коли програма покладається на автентифікацію без стану (використовуючи щось на зразок HMAC)? Приклад: У нас є один додаток сторінки ( в іншому випадку ми повинні додати маркер на кожному посиланні: <a href="...?token=xyz">...</a>. Користувач аутентифікує себе за допомогою POST /auth. Після успішної аутентифікації сервер поверне деякий …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

Моя сторінка реєстру відображає форму належним чином, якщо {{ csrf_field() }}у формі присутній CsrfToken ( ). Форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Я використовую вбудовану автентифікацію для користувачів. Не змінили нічого, крім маршрутів та переадресацій. Коли я надсилаю форму (відразу після …

111 php  laravel  csrf  laravel-5.5 

Я знаю, що є відповіді щодо Django Rest Framework, але я не зміг знайти рішення своєї проблеми. У мене є програма, яка має автентифікацію та певну функціональність. До нього я додав нову програму, яка використовує рамку відпочинку Django. Я хочу використовувати бібліотеку лише в цьому додатку. Також я хочу зробити …

111 django  django-rest-framework  csrf  django-csrf 

У мене є програма rails, яка обслуговує деякі API для програми iPhone. Я хочу мати можливість просто публікувати на ресурсі, не замислюючись над тим, щоб отримати правильний маркер CSRF. Я спробував деякі методи, які я бачу тут у stackoverflow, але, схоже, вони більше не працюють на рейках 3. Дякую за …

105 ruby-on-rails-3  csrf 

Це питання стосується захисту лише від атак на підписи між веб-сайтами. Йдеться саме про те, чи захист через заголовок Origin (CORS) такий же хороший, як захист через маркер CSRF? Приклад: Аліса входить у систему (за допомогою файлу cookie) за допомогою свого браузера на " https://example.com ". Я припускаю, що вона …

103 javascript  security  cors  csrf