csrf相关内容
我有一个 ajax 函数,可以触发从我的数据库中删除条目. 我需要为此做 CSRF 验证.我该怎么做? 我将 CSRF cookie 与我的 post 请求一起发送,但是 Yii 2.0 没有验证它,任何通过 ajax 传递的输入都到达了服务器. 如何对ajax请求进行CSRF验证. 是否需要手动设置cookie并检查? 解决方案 您无需手动设置 cookie.
..
我的日志文件充满了这些错误 2021-11-19 12:39:42 [27.xxx.xxx.xxx][1958][gi96uqh6atadlbsg2ksjfltd9e][error][yii\web\HttpException:400] yii\web\BadRequestHttpException: Unable验证您提交的数据.在/var/www/html/vendor/yiisoft/yi
..
我在 yii2 中遇到 CSRF 验证问题.验证与 gii 生成的默认表单一起工作正常,但是当我使用 html 标签编辑表单时,表单提交会引发错误的请求错误.我已禁用 csrf 验证以隐藏错误,但我想将其用于应用程序和数据验证的安全性. 有没有办法解决这个错误,或者有没有办法配置它在这种情况下正常工作? 解决方案 我猜,你的 html 表单没有隐藏的 _csrf 字段,它是由标准 Y
..
有没有办法为控制器的某些操作禁用 CSRF 验证,并为其他操作启用它? 就我而言,我有几个可配置的 Action 类,它们旨在注入控制器.我无法将 csrf 验证令牌传递到 AJAX 请求中,因为我正在使用的东西是前端的外部(不是我制作的)WYSIWYG 插件.是的,我仍然可以使用这些操作禁用整个控制器的 csrf 验证,但它可能不安全. 解决方案 对于特定的控制器/动作,您可以像这
..
我需要创建类似于 wordpress 帖子管理的“批量操作",例如,您可以一次删除多个记录. 这是我的方法,效果很好,但我确定这不是最好的方法,因为这种方法容易受到 CSRF 黑客的攻击. gridview 中的复选框列: GridView::widget(['数据提供者' =>$数据提供者,'列' =>[['类' =>'yii\grid\CheckboxColumn'],'id'=
..
我正在尝试通过设置 X-CSRF 来实现 Ring-Anti-Forgery 库- 标头中的令牌. 因为我使用的是静态 html 文件,所以我发现内置的 hiccup 助手(它在表单中设置令牌)没有用. 这是我第一次尝试使用 Clojure 进行 Web 开发,所以我猜我完全错过了对有经验的人来说应该显而易见的东西. 来自README状态的说明: 中间件还会在 X-CSRF
..
我正在使用 play 框架 v. 2.5.3 编写我的应用,并使用官方文档中描述的 CSRF 保护. 公共类过滤器实现了 HttpFilters {@注入CSRFFilter csrfFilter;@覆盖公共 EssentialFilter[] 过滤器(){返回新的 EssentialFilter[]{csrfFilter.asJava()};}} 当然可以,只要所有的请求都需要过滤,但其中一
..
为什么 Play Framework 使用 [会话 ID 的签名版本] 作为 跨站点请求伪造 (XSRF/CSRF) 预防令牌,而不是会话 ID 本身? (使用 XSRF 预防令牌,我的意思是必须包含在表单提交中的魔法值,以便 web 应用程序接受表单.) 如果有窃听者,他/她无论如何都会找到 XSRF 令牌和 SID cookie(?). 如果存在 XSS 漏洞,那么恶意 Ja
..
我正在使用 Scala Play!2.6 框架,但这可能不是问题.我正在使用他们的 Javascript 路由 - 它似乎工作正常,但它有问题.我有一个表单,它在呈现时会产生这个,带有一个 CSRF 令牌:
..
我正在使用 Rails 3.1.0.rc4,我正在使用 capybara 的新 Steak-like DSL 和 Rspec(使用 Devise 身份验证)进行集成测试 我遇到的问题是,当我运行集成测试时,来自 capybara 的机架测试驱动程序似乎完全丢失了用户的登录会话,实际上,会话似乎完全清除了. > 经过几天的调试,我完全不知道为什么.逐行浏览中间件堆栈,我相信我已经将问题归结
..
我正在将我的 Node.js 应用程序部署到生产环境中.我们遇到了一些 CSRF 问题,但在深入研究问题并了解有关 CSRF 攻击的更多信息后,我想知道我们是否甚至需要执行这些检查. 我们的 API 已从我们的 CSRF 检查中列入白名单,因此我们依赖该 API 的移动应用可以正常运行(我们目前正在努力确保其安全).在 Web 前端,我们允许用户注册/登录并创建/编辑他们的数据.我们使用 F
..
这里是 Django 的初学者,我已经尝试解决这个问题很长时间了.我的中间件类中有“django.middleware.csrf.CsrfViewMiddleware",并且我的帖子表单中有令牌. 这是我的代码,我做错了什么? from django.contrib.auth.forms import UserCreationForm从 django.shortcuts 导入 rende
..
我想从使用 Axios 的 React 应用向 Django Rest Framework 后端发出 POST 请求.我设法从后端获得了一个 CSRF 令牌,但我无法通过我的请求发送它,所以我总是收到一个 Forbidden(CSRF cookie not set.) 错误: 这是我的 React 应用程序的代码: handleClick() {const axios = require(
..
我正在尝试使用 react_on_rails 来构建我的第一个带有 react 和 rails 的示例.我正在尝试将一些数据保存到 rails 后端,将 axios 用于 ajax. 这是我的代码: 从“../store/helloWorld"导入商店;从“axios"导入 axios;export const SAVE_NAME = "SAVE_NAME";导出函数 saveNameAc
..
我正在从我的 node-js 应用程序调用 delete 方法. 它在 Postman 上运行良好,但在调用此 API 时给了我 403来自代码. 以下是我的示例代码片段: const instance = axios.create();instance.interceptors.request.use((config) => {config.baseURL = 'https://t
..
你如何通过 python 模块请求传递 csrftoken?这就是我所拥有的,但它不起作用,而且我不确定将其传递给哪个参数(数据、标题、身份验证...) 导入请求从 bs4 导入 BeautifulSoupURL = 'https://portal.bitcasa.com/login'客户端 = requests.session(config={'verbose': sys.stderr})#
..
我已将 Zend_Form_Element_Hash 包含在一个多复选框表单中.我将 jQuery 设置为在单击复选框时触发 AJAX 请求,我通过此 AJAX 请求传递令牌.第一个 AJAX 请求效果很好,但随后的请求失败了. 我怀疑可能是一旦令牌经过验证,它就会从会话中删除(hop = 1). 对于使用 Zend Framework Hash 保护表单并使用 AJAX 来完成其中一
..
我在 AngularJS SPA 中使用资源所有者密码凭据 OAuth 2.0 流程.有几篇文章(这里,这里 ..) 和 这个问题 解释了我们不应该将刷新令牌存储在(Web)客户端(LocalStorage)上,而是将它们加密存储在 HttpOnly Cookie 中并使用代理 API,我们在其中实现对刷新令牌的解密将其转发到安全令牌服务. 大多数文章都暗示我们应该通过使用一种常见的保护机制
..
更新: 我正在编写一个小模块来处理 backbone 中的这个 csrf 令牌问题,直到我收到@Louis 回答的推送通知. 他的回答非常优雅,看起来不错,但我会留下一个链接到我的backbone.csrf 模块 github 存储库,仅供需要它的人使用. ==============================================================
..
我正在使用主干和 node.js 创建一个网站,并且认为默认情况下没有针对 CSRF 的任何保护.在 node.js 中使用主干时,是否有针对 CSRF 进行项目的标准方法?谢谢 解决方案 您可以简单地确保请求具有值为 XMLHTTPRequest 的 X-Requested-By 标头.AJAX 请求具有跨域限制,因此如果该标头存在,则它不是例如恶意网站上的隐藏表单.
..