csrf相关内容

Django Rest Framework 删除 csrf

我知道有关于 Django Rest Framework 的答案,但我找不到解决我的问题的方法. 我有一个具有身份验证和一些功能的应用程序.我向它添加了一个新应用程序,它使用 Django Rest Framework.我只想在这个应用程序中使用这个库.我也想发出 POST 请求,我总是收到这个响应: {"detail": "CSRF 失败:CSRF 令牌丢失或不正确."} 我有以下代码 ..
发布时间:2021-12-02 18:44:32 其他开发

Django CSRF 检查因 Ajax POST 请求而失败

我可以通过我的 AJAX 帖子使用一些帮助来遵守 Django 的 CSRF 保护机制.我已按照此处的说明进行操作: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ 我已经完全复制了他们在该页面上的 AJAX 示例代码: http://docs.djangoproject.com/en/dev/ref/contrib/ ..
发布时间:2021-12-02 18:39:45 前端开发

Rails,设计身份验证,CSRF 问题

我正在使用 Rails 做一个单页应用程序.登录和退出时,使用 ajax 调用设计控制器.我遇到的问题是,当我 1) 登录 2) 退出然后再次登录时不起作用. 我认为这与我退出时重置的 CSRF 令牌有关(尽管它不应该是单页),并且由于它是单页,旧的 CSRF 令牌是在 xhr 请求中发送的,因此重置了会话. 更具体地说,这是工作流程: 登录 退出 登录(成功 201.但是在 ..
发布时间:2021-12-02 13:00:25 前端开发

警告:无法验证 CSRF 令牌真实性导轨

我正在使用 AJAX 将数据从视图发送到控制器,但出现此错误: 警告:无法验证 CSRF 令牌的真实性 我想我必须将此令牌与数据一起发送. 有人知道我该怎么做吗? 编辑:我的解决方案 我通过将以下代码放入 AJAX 帖子中来做到这一点: 标题:{'X-Transaction': 'POST 示例','X-CSRF-Token': $('meta[name="csrf ..
发布时间:2021-12-01 14:05:04 其他开发

在浏览器中存储 JWT 的位置?如何防范CSRF?

我知道基于 cookie 的身份验证.SSL 和 HttpOnly 标志可用于保护基于 cookie 的身份验证免受 MITM 和 XSS.但是,需要采取更多特殊措施来保护它免受 CSRF 的影响.它们只是有点复杂.(参考) 最近,我发现 JSON Web Token (JWT) 作为身份验证解决方案非常流行.我了解有关编码、解码和验证 JWT 的知识.但是,我不明白为什么有些网站/教程说如 ..
发布时间:2021-11-30 17:40:26 其他开发

使用 JSON Web 令牌的 CSRF 保护

我读到使用 JWT 时,无需防范 CSRF 攻击,例如:"因为您不依赖 cookie,所以您不需要防止跨站点请求". 但是,有些我不明白:如果我将令牌存储在 localStorage 中(正如我被告知的那样同一个网站的教程),是什么防止攻击者通过读取我的 localStorage 而不是我的 cookie 来伪造恶意请求? 由于它是在服务器端生成的,我不知道如何将令牌用于客户端请求而不 ..
发布时间:2021-11-30 17:22:38 其他开发

在 ajax post ASP.NET MVC 中包含 antiforgerytoken

我在使用 ajax 时遇到了 AntiForgeryToken 的问题.我正在使用 ASP.NET MVC 3.我在 jQuery Ajax 调用中尝试了解决方案和 Html.AntiForgeryToken().使用该解决方案,现在正在传递令牌: var data = { ... }//带令牌,key 是 '__RequestVerificationToken'$.ajax({类型:“POST ..
发布时间:2021-11-29 08:32:42 C#/.NET

jQuery Ajax 调用和 Html.AntiForgeryToken()

我在我的应用程序中实施了缓解CSRF攻击的措施,遵循以下信息我在互联网上阅读了一些博客文章.特别是这些帖子一直是我实现的驱动力 ASP.NET MVC 最佳实践,来自 ASP.NET 和 Web 工具开发人员内容团队 剖析跨站请求伪造攻击来自 Phil Haack 博客 ASP.NET MVC 框架中的 AntiForgeryToken - Html.AntiForgeryToken 和 ..
发布时间:2021-11-29 08:24:11 前端开发

单独使用 nginx 的简单 CSRF 保护

我有一个 nginx 服务器,提供纯 HTML 和 JS 文件. js 代码然后调用各种 REST API 来从 API 服务器获取/发布数据. 如果 nginx 收到对/api/location 的请求,它会将请求转发到另一个处理所有 API 的服务器.这个 api 服务器是用 Ruby on Rails 构建的. 由于我所有的纯 HTML 页面都是由 nginx 直接交付的, ..
发布时间:2021-11-17 02:29:01 其他开发

使用客户端指纹编码 JWT 令牌?

我想知道使用客户端指纹作为 JWT-secret 进行编码是否是最佳实践.但是,我在 WWW 中找不到关于这个问题的任何内容,但到目前为止,我这样做是有意义的. 我正在考虑使用 JavaScript 生成指纹客户端,并在每次调用时将其发送到 API.然后,API 应将指纹与硬编码的秘密一起用于对令牌进行编码和解码. 这不是防止CSRF的好方法吗?还是我错过了其他东西?或者一般来说:使用 ..
发布时间:2021-11-15 03:48:50 其他开发

删除 API post 调用上的 csrf 保护

我想从我的 Express 3.0 应用程序中删除 csrf,因为我不需要它.我使用 oauth 来验证客户端.使用 express.csrf() 时是否是将 API url 列入白名单的中间件? 解决方案 您可以通过两种方式做到这一点. 1.) 创建一个自己的小型中间件,允许白名单 url 模式不被 csrf 之类的阻止; var express = require("expre ..
发布时间:2021-11-15 03:29:21 其他开发

CSRF 令牌丢失或不正确.Django + AngularJS

从我的本地主机向远程 django api 执行 POST 请求时,我收到 CSRF 令牌丢失或不正确的错误. 我在 AngularJS 上的设置: .config(['$httpProvider', function($httpProvider){$httpProvider.defaults.xsrfCookieName = 'csrftoken';$httpProvider.defau ..
发布时间:2021-11-15 02:47:36 其他开发

Rails 4 为 API 操作跳过protect_from_forgery

我一直在使用 API 实现 Rails 4 应用程序.我希望能够从手机和 webapp 本身调用 API.我在研究 protect_from_forgery 时遇到了这篇笔记: 请务必记住,XML 或 JSON 请求也会受到影响,如果您正在构建 API,您将需要以下内容: class ApplicationController 我正考虑这样做,但我有一些保留意见/问题: 这个解决 ..
发布时间:2021-11-15 01:50:16 其他开发

如何确保 Rails API 不受 CSRF 的影响?

我一直在开发带有 REST API 的 Rails 应用程序,以便从移动应用程序访问. 效果很好.当用户从移动应用程序登录时,他会获得 auth_token,他将在未来对 API 的请求中使用该令牌.问题是 API 也可以通过路径/api/v1/... 从网络访问,因此,必须保护它免受 CSRF 的影响. 我有从 ApplicationController 继承的 BaseApiCon ..
发布时间:2021-11-15 01:16:37 其他开发

Laravel X-CSRF-Token 与 POSTMAN 不匹配

我尝试与我使用 Laravel 构建的 REST API 对话.但是由于令牌不匹配,与 POSTMAN 的调用被拒绝.我想我需要在标头中包含 CSRF 令牌.但是我需要加密的吗?当我插入这个令牌时,我仍然收到令牌不匹配的错误. 我使用以下方法检索我的令牌: $encrypter = app('Illuminate\Encryption\Encrypter');$encrypted_toke ..
发布时间:2021-11-15 01:12:31 其他开发

拥有可 POST 的 API 和 Django 的 CSRF 中间件

我有一个 Django Web 应用程序,它具有前端、可通过 Web 访问的组件和可由桌面客户端访问的 API.但是,现在使用新的 CSRF 中间件组件,来自桌面客户端的 API 请求通过 POST 得到 403. 我理解为什么会发生这种情况,但是在不影响安全性的情况下解决此问题的正确方法是什么?有什么办法可以在 HTTP 标头中表明这是一个 API 请求并且 Django 不应该检查 CS ..
发布时间:2021-11-15 00:35:07 其他开发

警告:在 API 开发的情况下无法验证 CSRF 令牌的真实性

我现在正在使用 Ruby on Rails 开发 Web API.当 Rails 应用收到没有任何 csrf 令牌的 POST 请求时,将出现以下错误消息.因为该应用没有视图. 警告:无法验证 CSRF 令牌的真实性 所以我的问题是在这种情况下如何安全地逃避 csrf 令牌检查? 非常感谢您. 解决方案 你可以通过添加 skip_before_filter :verify_au ..
发布时间:2021-11-15 00:34:08 其他开发

不禁用 CSRF 保护的 Rails API 设计

早在 2011 年 2 月,Rails 就改为要求所有非 GET 请求的 CSRF 令牌,包括 API 端点的请求.我理解为什么这是浏览器请求的重要更改的解释,但该博文并未就 API 应如何处理更改提供任何建议. 我对为某些操作禁用 CSRF 保护不感兴趣. API 应该如何应对这种变化?是否期望 API 客户端向 API 发出 GET 请求以获取 CSRF 令牌,然后在该会话期间的每 ..
发布时间:2021-11-15 00:19:46 其他开发

链接到 Apex 方法的 CSRF 安全自定义按钮

我正在寻找一种技术,通过添加到 Opportunity 对象的自定义按钮执行 Apex 代码,以保护用户免受 CSRF 的影响. 当前使用的方法来自问题 - 自定义按钮或链接到带有自定义控制器的 Visualforce 页面.本质上: 有一个机会自定义按钮,内容源设置为“Visualforce 页面". 此按钮的内容设置为 Visualforce 页面,该页面将 Opportunit ..
发布时间:2021-11-15 00:11:38 其他开发