antiforgerytoken相关内容

如何在 Struts2 应用程序中为 AJAX 请求做 CSRF 保护

我有一个 struts2 webapp,我需要在其中实现 CSRF 保护.对于统计表格,它非常简单.我只需要激活 tokenSession 拦截器 &然后在要提交的表单中设置.(在 这里 和 这里) 但是当我需要为不一定通过表单提交的 POST AJAX 调用(我使用的是 jQuery)启用 CSRF 保护时,就会出现问题.在进行后续 AJAX 调用时,我面临重复使用令牌的问题. 感谢 ..
发布时间:2022-01-16 22:37:19 前端开发

MVC 4 提供的防伪令牌是为用户“"提供的.但当前用户是“用户"

我最近发布了一个使用 MVC 4 和 Entity Framework 5 构建的 Web 应用程序.MVC 应用程序使用 Razor 视图. 我注意到使用 Elmah 时,当用户登录应用程序时,有时他们会收到以下错误 提供的防伪令牌是给用户“"的,但当前用户是“user" 我已经对如何解决此问题进行了一些研究,但似乎对我没有任何作用.请在下面查看我的登录视图和相应的控制器操作. ..
发布时间:2021-12-21 20:14:06 其他开发

RequestVerificationToken 不匹配

我对反 CRSF MVC 机制有疑问.cookie 和返回的表单输入不匹配.我每次都遇到错误,仅在一个特定页面中.在应用程序的其余部分,它运行良好. 服务器正在返回HTTP 500 Internal Server Error,我可以在日志中看到这个异常: [System.Web.Mvc.HttpAntiForgeryException]: {"需要防伪令牌未提供或无效."} 这是 ..

在HTTP GET中使用MVC3的AntiForgeryToken避免Javascript CSRF漏洞

关于这个被黑客入侵的博客,我很犹豫要不要实施提议自 以来的反 JSON GET 劫持解决方案 缓解 JSON 劫持的推荐解决方案涉及非 REST-full JSON POST 以获取数据 替代解决方案(对象包装)导致我无法访问源代码的第 3 方控件出现问题. 我找不到一个经过社区审查的实施方案,该实施方案实施了关于如何编写安全令牌或在网页内安全交付的替代解决方案(如下所列).我 ..
发布时间:2021-12-18 17:02:05 其他开发

使用 MVC 4 RC 为 Web API 实现 ValidatingAntiForgeryToken 属性的问题

我正在制作基于 JSON 的 AJAX 请求,并且使用 MVC 控制器非常感谢 Phil Haack 的 使用 AJAX 防止 CSRF 和 Johan Driessen 的 为 MVC 4 RC 更新了反 XSRF.但是,当我将以 API 为中心的控制器转换为 Web API 时,我遇到了两种方法之间的功能明显不同的问题,并且我无法转换 CSRF 代码. ScottS 最近提出了一个类似的 ..
发布时间:2021-12-16 09:37:45 其他开发

Web API 和 ValidateAntiForgeryToken

我们有一些现有的 MVC Web 服务,它们从网页中称为 AJAX 样式.这些服务利用 ValidateAntiForgeryToken 属性来帮助防止请求伪造. 我们希望将这些服务迁移到 Web API,但似乎没有等效的防伪功能. 我错过了什么吗?是否有不同的方法来解决使用 Web API 的请求伪造? 解决方案 你可以实现这样的授权属性: [AttributeUsage( ..
发布时间:2021-12-03 15:59:59 其他开发

jQuery Ajax 调用和 Html.AntiForgeryToken()

我在我的应用程序中实施了缓解CSRF攻击的措施,遵循以下信息我在互联网上阅读了一些博客文章.特别是这些帖子一直是我实现的驱动力 ASP.NET MVC 最佳实践,来自 ASP.NET 和 Web 工具开发人员内容团队 剖析跨站请求伪造攻击来自 Phil Haack 博客 ASP.NET MVC 框架中的 AntiForgeryToken - Html.AntiForgeryToken 和 ..
发布时间:2021-11-29 08:24:11 前端开发

使用令牌 API 和 angular 进行防伪

我正在使用 SSO 登录和 .net 核心 Web API 开发 Angular 6 应用程序.该代码第一次在/token url 上命中后端,这是一个后期操作.在这种情况下我如何做防伪.请说明代币转账的流程 解决方案 这个问题很老了,但我的解决方案可以帮助某人.什么对我们有用: 在 Angular FE 端使用 HttpXsrfTokenInterceptor 来设置 X-XSRF ..

ValidateAntiForgeryToken如何与可通过Web或本机应用程序访问的Web API配合使用?

我试图了解如何使用ASP.NET Web API来制作API,该API会受到保护,免受 答案是非Web API仅需要支持非Web身份验证机制(OAuth?),以便不能通过浏览器重播对它的请求吗?还是有更简单的方法? 如果那是唯一的方法,是否有一种简单的方法可以关闭所有不安全的身份验证机制?在ASP.NET Web API中是否应该有一条简单/快乐的路径来支持这些方案? 解决方案 仅 ..
发布时间:2021-04-11 20:32:53 其他开发

AntiForgeryToken与通过WebAPI的OAuth搭配使用效果不佳

我们正在尝试使具有Oauth(Gmail)授权的MVC4应用程序可以通过WebAPi访问.我们制作了一个WebAPI控制器来返回数据列表,但是我们不能使authorize属性正常工作. 现在很难将AntiForgeryToken正确发送到服务器,并且我们会收到一个session_requestverificationtoken错误. 是否有很好的方法通过Webai解析和发布正确的防伪令 ..
发布时间:2021-04-11 20:26:55 C#/.NET

防伪令牌和Web测试

我正在尝试在VS2012中为MVC站点进行Web测试.一种情况是登录并浏览产品列表,选择所需的产品,然后进入购买页面. 问题是,在运行网络测试时,我收到有关防伪令牌的错误,并且该令牌不匹配. 到底该如何使用防伪令牌进行测试?用户必须登录-最终将有成千上万的用户进行负载测试,但需要首先使其对1个用户起作用. 登录视图/操作确实在视图中执行了AntiForgeryToken并在控制器 ..
发布时间:2021-04-11 20:23:32 其他开发