Запитання з тегом «csrf»

Я намагаюся додати певного захисту до форм на моєму веб-сайті. Одна з форм використовує AJAX, а інша - це проста форма "зв’яжіться з нами". Я намагаюся додати маркер CSRF. Проблема, яка виникає у мене, полягає в тому, що маркер відображається лише у "значенні" HTML деякий час. В інший час значення …

96 php  security  session  csrf 

Після налаштування Spring Security 3.2 _csrf.tokenне пов'язаний із запитом або об'єктом сеансу. Це конфігурація безпеки навесні: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Файл login.jsp <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" …

90 spring  spring-security  csrf  csrf-protection 

Я встановив Laravel 5.7 Додано форму до файлу \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Додано до файлу \routes\web.php Route::post('/foo', function () { echo 1; return; }); Після відправки запиту POST: 419 Вибачте, ваш сеанс закінчився. Будь ласка, оновіть і спробуйте ще раз. У …

88 php  laravel  csrf 

Я створюю веб-службу, яка використовує виключно JSON для своїх запитів та вмісту відповідей (тобто, ніяких корисних навантажень, закодованих у формі). Чи є веб-служба вразливою до атак CSRF, якщо наведене нижче відповідає дійсності? Будь-який POSTзапит без об'єкта JSON найвищого рівня, наприклад, {"foo":"bar"}буде відхилено за допомогою 400. Наприклад, POSTзапит із вмістом 42буде …

82 http  security  csrf 

Як я можу отримати маркер CSRF для передачі із запитом JSON? Я знаю, що з міркувань безпеки Rails перевіряє маркер CSRF на всіх типах запитів (включаючи JSON / XML). Я міг би вкласти свій контролер skip_before_filter :verify_authenticity_token, але я втратив би захист CRSF (не доцільно :-)). Ця подібна (досі не …

82 ruby-on-rails-3  ruby-on-rails-3.1  devise  csrf 

Підробку міжсайтових запитів (CSRF), як правило, запобігають одним із таких методів: Реферер чека - НАДІЙНИЙ, але ненадійний вставити маркер у форму та зберегти маркер у сеансі сервера - насправді RESTful загадкові одноразові URI - не RESTful з тієї ж причини, що і маркери надсилати пароль вручну для цього запиту (не …

78 security  http  rest  authorization  csrf