csrf相关内容

检测到跨站点请求伪造(CSRF)时应发回什么响应

检测到跨站点请求伪造(CSRF)时,我应该发回什么响应? 有一个扫描工具我拿不到,那就是说我的一个页面没有受到保护CSRF。但它是。我返回的响应是一个正常的202,并带有一句“请求无法处理”。就是这样,没有任何有用的信息被发送回攻击者,并且我记录了该尝试。但该软件表示,它仍然容易受到CSRF的影响。我可以很容易地自己运行测试并弄清楚它,但扫描和测试之间的时间很长,我无法获得相同的软件,这就是 ..
发布时间:2022-07-24 16:37:09 其他开发

标头中的CSRF令牌和请求中的Cookie不匹配

我正在实现无状态API,而我的组织说我需要防御CSRF攻击。 我在网上找到了这个人的解决方案,并决定尝试实现仅限客户端的方法:http://blog.jdriven.com/2014/10/stateless-spring-security-part-1-stateless-csrf-protection/ 以下是该网站针对无状态解决方案所做的说明(以防网站关闭): 客户端生成的 ..
发布时间:2022-07-13 10:38:49 其他开发

从React本机获取API调用时出现CSRF问题

我使用来自原生反应移动应用程序的以下代码对dj-rest-auth本地链接进行社交身份验证调用。然而,我的Facebook身份验证每次都成功,然后Fetch(或axios)本地API调用执行,它在第一次运行时运行得很好,返回令牌给我,但此后每次运行时,它都会给我一个错误,说缺少CSRF令牌或无效。我不能使用Django docs getCookie函数,因为它给出了文档错误,因为这是一个原生的移动 ..
发布时间:2022-05-28 23:26:57 其他开发

Django(DRF)&Reaction-禁用(未设置CSRF Cookie)

有数十个问题与我要问的问题基本相同。然而,他们的答案似乎都不适合我。 我使用axios向后端发送请求的Reaction前端。示例 const request = await axios.post('${BASE_URL}/logout/') 大多数Django REST框架端点都是使用视图集创建的。然而,我有几个是定制的,主要是为身份验证而定制的。 path('createac ..
发布时间:2022-04-08 19:05:56 其他开发

根据CSRF攻击,ASP.NET核心角度Web应用程序中的ValiateAntiForgeryToken终结点属性用法

我有一个Web应用程序,它使用ASP.NET核心(3.1)后端和角度前端(8.2.11)。它使用ASP.NET身份框架进行用户身份验证。它将身份验证令牌存储在本地存储中,以用作请求中身份验证头。Sense控制器中的一切都在运行,只有当用户登录时才能访问终结点,如果注销,则直接在浏览器中键入终结点将被拒绝。 我仍然不确定这样的设置是否可以防止跨站点请求伪造(XSRF/CSRF)攻击。我知道使用Co ..
发布时间:2022-04-08 18:58:37 C#/.NET

使用Python请求和CSRF-TOKEN登录

我正在使用python的请求模块尝试登录到一个网页。我打开一个quests.ession(),然后获得cookie和包含在元标记中的csrf-Token。我使用用户名、密码、隐藏的输入字段和来自元标记的csrf-Token构建我的有效负载。在此之后,我使用POST方法,并传递登录URL、cookie、有效负载和头。但在那之后,我不能访问登录页面后面的页面。 我做错了什么? 这是我执行登录时的 ..
发布时间:2022-04-08 18:57:21 Python

在iframe中的Laravel 5.1 CSRF,如何让它工作?

我的应用程序有一个插件,用户可以在他们的网站上实现包含表单的插件。问题是,当提交表单时,我得到TokenMismatchException。从我所做的所有研究来看,我可以看到对来自Laravel的跨来源的保护。 我知道我可以禁用它,但我不知道在此之后如何保护该表单? 你们中有谁遇到过这个问题吗?最佳实践是什么? 谢谢 注意:我注意到,如果用户以前访问过原始网站,然后转到包含 ..
发布时间:2022-04-08 18:55:18 PHP

Django X-CSRF令牌已设置,但仍被禁止403

我开发了一个Django文件上传API,它从客户端接收发布的数据,并将数据保存为文件。 Django CSRF manual根据Django CSRF manual,HTTP请求头部应该使用csrfToken cookie值设置X-CSRFToken。我已经通过下面的代码设置了X-CSRFToken,但Django服务器仍然禁止(403)POST请求,如下图所示。 $(document). ..
发布时间:2022-04-08 18:52:55 Python

如何将CSRF令牌设置为不同上下文路径

我们基于角度的WebApp与运行在不同域和上下文路径上的企业门户集成在一起。我正在使用基于Spring Security的CSRF令牌来验证传入的请求。该应用程序在本地运行良好,但当我将其与门户集成时,所有POST调用都失败403,因为ANGLE无法读取XSRF-TOKEN并将请求头中的X-XSRF-TOKEN设置为API调用。经过调查,我发现门户和我们的APP的上下文路径不同,因此Spring将 ..
发布时间:2022-04-08 18:51:18 其他开发

禁止(403)CSRF验证失败。请求已中止。失败原因:来源检查失败与任何受信任的来源都不匹配

帮助 失败原因: Origin checking failed - https://praktikum6.jhoncena.repl.co does not match any trusted origins. 通常,如果存在真正的跨站点请求伪造,或者没有正确使用Django的CSRF机制,就会出现这种情况。对于发布表单,您需要确保: Your browser is acce ..
发布时间:2022-04-08 18:49:23 Python

如何将CSRF令牌从服务器传递到客户端?

这听起来可能是个愚蠢的问题。我想把这件事说清楚。如果令牌首先发送到客户端,而客户端发回相同的令牌,CSRF令牌如何帮助识别跨站点请求?恶意客户端不会从服务器获得响应吗? 如果我们在发送令牌的同时检查来源,那么令牌检查不会看起来是多余的吗? 如何确保服务器只向授权的客户端提供令牌?将令牌从服务器传输到客户端的最佳做法是什么? 我问了一个相关的问题here,但需要更深入地了解它。所以 ..
发布时间:2022-04-08 18:46:27 其他开发

Django应用程序在本地运行,但我在Heroku上获得CSRF验证失败

我的应用程序在heroku local上运行良好,但在部署到Heroku后,每次我尝试以管理员身份登录/注册/登录时,它都会返回如下所示的错误。 我已尝试将@csrf_exempt放在profile视图上,但没有解决问题。 我能做些什么? 推荐答案 错误消息非常简单(请原谅打字错误,因为我无法从图像中复制): Origin checking failed - http ..
发布时间:2022-04-08 18:44:29 其他开发

如何在无视图Web API中配置防伪保护

我正在使用ASP.NETCore实现一个睡觉API。它是无状态,只是它使用Cookie进行身份验证,因此容易受到跨站点请求伪造(CSRF)攻击。 幸运的是,ASP.NET核心提供了一种防范方法:Prevent Cross-Site Request Forgery (XSRF/CSRF) attacks in ASP.NET Core。 因为我的应用程序没有任何视图或页面,所以我仅使用S ..
发布时间:2022-03-09 17:58:16 其他开发

Rails,设计认证,CSRF 问题

我正在使用 Rails 做一个单页应用程序.登录和注销时,使用 ajax 调用 Devise 控制器.我遇到的问题是,当我 1)登录 2)注销然后再次登录不起作用. 我认为这与我退出时重置的 CSRF 令牌有关(尽管它不应该 afaik),并且由于它是单页,旧的 CSRF 令牌正在 xhr 请求中发送,从而重置会话. 更具体地说,这是工作流程: 登录 退出 登录(成功 201 ..
发布时间:2022-01-31 15:15:03 前端开发

警告:无法验证 CSRF 令牌真实性轨道

我正在使用 AJAX 将数据从视图发送到控制器并且出现此错误: 警告:无法验证 CSRF 令牌的真实性 我想我必须用数据发送这个令牌. 有谁知道我该怎么做? 编辑:我的解决方案 我通过将以下代码放入 AJAX 帖子中来做到这一点: 标题:{'X-Transaction': 'POST 示例','X-CSRF-Token': $('meta[name="csrf-to ..
发布时间:2022-01-30 15:16:04 其他开发