csrf相关内容
检测到跨站点请求伪造(CSRF)时,我应该发回什么响应? 有一个扫描工具我拿不到,那就是说我的一个页面没有受到保护CSRF。但它是。我返回的响应是一个正常的202,并带有一句“请求无法处理”。就是这样,没有任何有用的信息被发送回攻击者,并且我记录了该尝试。但该软件表示,它仍然容易受到CSRF的影响。我可以很容易地自己运行测试并弄清楚它,但扫描和测试之间的时间很长,我无法获得相同的软件,这就是
..
我正在实现无状态API,而我的组织说我需要防御CSRF攻击。 我在网上找到了这个人的解决方案,并决定尝试实现仅限客户端的方法:http://blog.jdriven.com/2014/10/stateless-spring-security-part-1-stateless-csrf-protection/ 以下是该网站针对无状态解决方案所做的说明(以防网站关闭): 客户端生成的
..
此代码用于添加产品,然后在后台使用MongoDB创建购物车和订单。实际上,会话.isLoggedIn是在auth js中定义的,请检查代码,但仍在app.js中,它会给出此错误! app.JS代码 const path = require('path'); const express = require('express'); const bodyParser = require('
..
我使用来自原生反应移动应用程序的以下代码对dj-rest-auth本地链接进行社交身份验证调用。然而,我的Facebook身份验证每次都成功,然后Fetch(或axios)本地API调用执行,它在第一次运行时运行得很好,返回令牌给我,但此后每次运行时,它都会给我一个错误,说缺少CSRF令牌或无效。我不能使用Django docs getCookie函数,因为它给出了文档错误,因为这是一个原生的移动
..
有数十个问题与我要问的问题基本相同。然而,他们的答案似乎都不适合我。 我使用axios向后端发送请求的Reaction前端。示例 const request = await axios.post('${BASE_URL}/logout/') 大多数Django REST框架端点都是使用视图集创建的。然而,我有几个是定制的,主要是为身份验证而定制的。 path('createac
..
不推荐使用前一种HtmlHelper.AntiForgeryToken方法,该方法允许重写string path。 [ObsoleteAttribute("This method is deprecated. Use the AntiForgeryToken() method instead. To specify a custom domain for the generated cook
..
我的Rails应用程序中有一个Reaction组件,我试图使用fetch()将帖子发送到托管在本地主机上的Rails应用程序,这会给我带来错误: ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken): 我正在使用Devise GEM处理user/registratio
..
我有一个Web应用程序,它使用ASP.NET核心(3.1)后端和角度前端(8.2.11)。它使用ASP.NET身份框架进行用户身份验证。它将身份验证令牌存储在本地存储中,以用作请求中身份验证头。Sense控制器中的一切都在运行,只有当用户登录时才能访问终结点,如果注销,则直接在浏览器中键入终结点将被拒绝。 我仍然不确定这样的设置是否可以防止跨站点请求伪造(XSRF/CSRF)攻击。我知道使用Co
..
我正在使用python的请求模块尝试登录到一个网页。我打开一个quests.ession(),然后获得cookie和包含在元标记中的csrf-Token。我使用用户名、密码、隐藏的输入字段和来自元标记的csrf-Token构建我的有效负载。在此之后,我使用POST方法,并传递登录URL、cookie、有效负载和头。但在那之后,我不能访问登录页面后面的页面。 我做错了什么? 这是我执行登录时的
..
我的应用程序有一个插件,用户可以在他们的网站上实现包含表单的插件。问题是,当提交表单时,我得到TokenMismatchException。从我所做的所有研究来看,我可以看到对来自Laravel的跨来源的保护。 我知道我可以禁用它,但我不知道在此之后如何保护该表单? 你们中有谁遇到过这个问题吗?最佳实践是什么? 谢谢 注意:我注意到,如果用户以前访问过原始网站,然后转到包含
..
我开发了一个Django文件上传API,它从客户端接收发布的数据,并将数据保存为文件。 Django CSRF manual根据Django CSRF manual,HTTP请求头部应该使用csrfToken cookie值设置X-CSRFToken。我已经通过下面的代码设置了X-CSRFToken,但Django服务器仍然禁止(403)POST请求,如下图所示。 $(document).
..
我们基于角度的WebApp与运行在不同域和上下文路径上的企业门户集成在一起。我正在使用基于Spring Security的CSRF令牌来验证传入的请求。该应用程序在本地运行良好,但当我将其与门户集成时,所有POST调用都失败403,因为ANGLE无法读取XSRF-TOKEN并将请求头中的X-XSRF-TOKEN设置为API调用。经过调查,我发现门户和我们的APP的上下文路径不同,因此Spring将
..
帮助 失败原因: Origin checking failed - https://praktikum6.jhoncena.repl.co does not match any trusted origins. 通常,如果存在真正的跨站点请求伪造,或者没有正确使用Django的CSRF机制,就会出现这种情况。对于发布表单,您需要确保: Your browser is acce
..
这听起来可能是个愚蠢的问题。我想把这件事说清楚。如果令牌首先发送到客户端,而客户端发回相同的令牌,CSRF令牌如何帮助识别跨站点请求?恶意客户端不会从服务器获得响应吗? 如果我们在发送令牌的同时检查来源,那么令牌检查不会看起来是多余的吗? 如何确保服务器只向授权的客户端提供令牌?将令牌从服务器传输到客户端的最佳做法是什么? 我问了一个相关的问题here,但需要更深入地了解它。所以
..
我的应用程序在heroku local上运行良好,但在部署到Heroku后,每次我尝试以管理员身份登录/注册/登录时,它都会返回如下所示的错误。 我已尝试将@csrf_exempt放在profile视图上,但没有解决问题。 我能做些什么? 推荐答案 错误消息非常简单(请原谅打字错误,因为我无法从图像中复制): Origin checking failed - http
..
我试着让csurf起作用,但似乎偶然发现了什么。到目前为止,代码如下所示: index.ejs
. . 在表单中插入密
..
我正在使用ASP.NETCore实现一个睡觉API。它是无状态,只是它使用Cookie进行身份验证,因此容易受到跨站点请求伪造(CSRF)攻击。 幸运的是,ASP.NET核心提供了一种防范方法:Prevent Cross-Site Request Forgery (XSRF/CSRF) attacks in ASP.NET Core。 因为我的应用程序没有任何视图或页面,所以我仅使用S
..
我要实现在使用身份验证令牌身份验证(Bearer)时跳过防伪令牌验证的过滤。 在ASP.NET Core 2.2中,ValidateAntiforgeryTokenAuthorizationFilter和AutoValidateAntiforgeryTokenAuthorizationFilter是公共的(即使位于Microsoft.AspNetCore.Mvc.ViewFeatures.I
..
我正在使用 Rails 做一个单页应用程序.登录和注销时,使用 ajax 调用 Devise 控制器.我遇到的问题是,当我 1)登录 2)注销然后再次登录不起作用. 我认为这与我退出时重置的 CSRF 令牌有关(尽管它不应该 afaik),并且由于它是单页,旧的 CSRF 令牌正在 xhr 请求中发送,从而重置会话. 更具体地说,这是工作流程: 登录 退出 登录(成功 201
..
我正在使用 AJAX 将数据从视图发送到控制器并且出现此错误: 警告:无法验证 CSRF 令牌的真实性 我想我必须用数据发送这个令牌. 有谁知道我该怎么做? 编辑:我的解决方案 我通过将以下代码放入 AJAX 帖子中来做到这一点: 标题:{'X-Transaction': 'POST 示例','X-CSRF-Token': $('meta[name="csrf-to
..