Вопросы с тегом «csrf»

Я пишу приложение (Django, так оно и происходит), и я просто хочу понять, что такое «токен CSRF» и как он защищает данные. Являются ли почтовые данные небезопасными, если вы не используете токены CSRF?

629 csrf 

Я пытаюсь понять всю проблему с CSRF и соответствующие способы предотвратить это. (Ресурсы, которые я прочитал, понимаю и с которыми согласен: Шпаргалка по профилактике OWASP CSRF , Вопросы о CSRF .) Насколько я понимаю, уязвимость вокруг CSRF вводится в предположении, что (с точки зрения веб-сервера) действительный файл cookie сеанса во …

284 security  cookies  web  csrf  owasp 

Я посылаю данные из представления на контроллер с AJAX, и я получил эту ошибку: ВНИМАНИЕ: Невозможно проверить подлинность токена CSRF. Я думаю, что я должен отправить этот токен с данными. Кто-нибудь знает, как я могу это сделать? Изменить: мое решение Я сделал это, поместив следующий код в сообщение AJAX: headers: …

238 ruby-on-rails  jquery  csrf 

Я реализовал в своем приложении защиту от CSRF-атак, следуя информации, которую я прочитал в блоге в Интернете. В частности, этот пост был драйвером моей реализации Рекомендации для ASP.NET MVC от команды разработчиков контента для ASP.NET и веб-инструментов Анатомия мошенничества с межсайтовым запросом Атака из блога Фила Хаака AntiForgeryToken в ASP.NET …

207 asp.net-mvc  ajax  asp.net-mvc-2  csrf  antiforgerytoken 

Я мог бы использовать некоторую помощь в соответствии с механизмом защиты CSRF в Django через мой пост AJAX. Я следовал инструкциям здесь: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я скопировал пример кода AJAX, который есть на этой странице: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Я помещаю предупреждение, распечатывающее содержимое getCookie('csrftoken')перед xhr.setRequestHeaderвызовом, и оно действительно заполнено некоторыми данными. Я не уверен, …

180 python  ajax  django  csrf 

У меня проблемы с AntiForgeryToken с ajax. Я использую ASP.NET MVC 3. Я пробовал решение в вызовах jQuery Ajax и Html.AntiForgeryToken () . Используя это решение, токен теперь передается: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", traditional: true, …

168 asp.net  ajax  asp.net-mvc  asp.net-mvc-3  csrf 

Из того, что я узнал до сих пор, цель токенов - не дать злоумышленнику подделать отправку формы. Например, если на веб-сайте была форма, в которую вводились элементы, добавленные в вашу корзину, и злоумышленник мог спамить вашу корзину с элементами, которые вам не нужны. Это имеет смысл, поскольку для формы корзины …

161 php  token  csrf 

Я знаю аутентификацию на основе файлов cookie. SSL и флаг HttpOnly могут применяться для защиты аутентификации на основе файлов cookie от MITM и XSS. Однако для защиты от CSRF потребуются более специальные меры. Они просто немного сложны. ( ссылка ) Недавно я обнаружил, что JSON Web Token (JWT) является довольно …

159 security  authentication  cookies  csrf  jwt 

Я видел статьи и посты по всей теме (включая SO) по этой теме, и преобладающим комментарием является то, что политика одного и того же происхождения предотвращает POST формы через домены. Единственное место, где я видел, что кто-то предполагает, что политика одного и того же происхождения не распространяется на посты, находится …

145 html  security  http  csrf  same-origin-policy 

Если эта protect_from_forgeryопция упоминается в application_controller, я могу войти в систему и выполнить любые запросы GET, но при самом первом запросе POST Rails сбрасывает сеанс, в результате чего я выхожу из системы. Я protect_from_forgeryвременно отключил эту опцию, но хотел бы использовать ее с Angular.js. Есть ли способ сделать это?

129 ruby-on-rails  angularjs  csrf  protect-from-forgery 

Нужно ли использовать защиту CSRF, если приложение использует аутентификацию без сохранения состояния (используя что-то вроде HMAC)? Пример: У нас есть одно приложение страницы ( в противном случае мы должны добавить маркер на каждой ссылке: <a href="...?token=xyz">...</a>. Пользователь аутентифицируется с помощью POST /auth. При успешной аутентификации сервер вернет некоторый токен. Токен …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

Я знаю, что есть ответы по поводу Django Rest Framework, но я не смог найти решения своей проблемы. У меня есть приложение с аутентификацией и некоторыми функциями. Я добавил к нему новое приложение, использующее Django Rest Framework. Я хочу использовать библиотеку только в этом приложении. Также я хочу сделать POST-запрос …

113 django  django-rest-framework  csrf  django-csrf 

На моей странице регистрации форма отображается правильно, и в ней {{ csrf_field() }}присутствует CsrfToken ( )). Форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Я использую встроенную аутентификацию для пользователей. Не менял ничего кроме маршрутов и редиректов. Когда я отправляю форму (также сразу …

111 php  laravel  csrf  laravel-5.5 

У меня есть приложение rails, которое обслуживает некоторые API для приложения iPhone. Я хочу иметь возможность просто публиковать сообщения на ресурсе, не заботясь о получении правильного токена CSRF. Я пробовал некоторые методы, которые я вижу здесь, в stackoverflow, но, похоже, они больше не работают на рельсах 3. Спасибо за помощь …

105 ruby-on-rails-3  csrf 

Этот вопрос касается только защиты от атак с подделкой межсайтовых запросов. В частности, речь идет о том, насколько эффективна защита с помощью заголовка Origin (CORS) и защита с помощью токена CSRF? Пример: Алиса вошла в систему (используя cookie) в своем браузере на https://example.com . Я предполагаю, что она использует современный …

103 javascript  security  cors  csrf