csrf相关内容

如何查看csrftoken?

有什么方法可以直接在View中获取csrftoken吗? 我想查看当前的csrftoken，但有时会更改，因此从Cookies中获取它不是一个好主意. 有什么办法吗? 谢谢！ 解决方案 我相信您正在寻找这个东西: django.middleware.csrf.get_token(请求) 或 {％csrf_token％} 参考:如何将django csrf令 ..

发布时间：2021-04-26 18:41:17 python django csrf Python

您如何解决错误KeyError:“使用CSRF需要一个秘密密钥."在烧瓶应用中使用wtform时?

我一直在尝试使用flask和wtforms以及firebase数据库来构建Web应用程序，但是我一直收到错误消息"KeyError:'使用CSRF需要密钥".解决它.这是我的代码: 从烧瓶导入Flask的 ，render_template，请求从firebase导入firebase从flask_wtf导入FlaskForm从flask_wtf.csrf导入CSRFProtect，CSRFErr ..

发布时间：2021-04-26 18:41:13 python firebase-realtime-database csrf flask-wtforms Python

在同一台计算机上的两个选项卡中打开同一页面时的CSRF令牌值?

据我了解，当在服务器端启用CSRF时，服务器会创建一个令牌(例如token1)并将其注入到 form 中，并将其保存在客户端浏览器的cookie中.当客户端向服务器发送 form 请求时，客户端会从浏览器cookie中发送csrf令牌(token1)，并发送与 form 中相同的令牌.服务器通过检查cookie中的令牌和 form 中的令牌是否匹配来验证请求，然后处理该请求. 现在，如果我在 ..

发布时间：2021-04-26 18:41:10 spring-boot spring-security csrf csrf-token 其他开发

Laravel 7 Vue 2 Sanctum登录错误419;CSRF令牌不匹配

我正在使用Laravel与Vue的默认集成(不是使用Vue CLI的单独项目).我正在尝试验证用户，但始终显示419错误.我已经将csrf令牌包含在Axios的标头中，但它仍然提供不匹配错误. bootstrap.js window.axios = require('axios');window.axios.defaults.headers.common ['X-Requested-Wi ..

发布时间：2021-04-26 18:41:07 laravel vue.js single-page-application csrf laravel-sanctum 前端开发

在Spring Controller中获取_csrf

如何在spring控制器中获取_csrf对象(?！)?我已经配置了Spring Security，可以在jsp文件中获得$ {_ csrf}请求属性.我尝试过: CsrfToken _csrf =(CsrfToken)session.getAttribute("CsrfToken");CsrfToken _csrf =(CsrfToken)session.getAttribute("_ csr ..

发布时间：2021-04-26 18:41:03 java spring spring-mvc spring-security csrf Java开发

Rails:如何在Rails API模式下实现protect_from_forgery

我有一个Rails 5 API应用程序( ApplicationController ..

发布时间：2021-04-26 18:40:56 ruby-on-rails security csrf ruby-on-rails-5 其他开发

Cookie CsrfTokenRepository.withHttpOnlyFalse()的作用以及何时使用它?

我现在正在尝试学习Spring Security，并且我已经看到许多使用它的示例.我知道CSRF是什么，并且Spring Security默认启用它.我很好奇的是这种定制. .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()).和().authorizeRequests(request-> {要求. ..

发布时间：2021-04-26 18:40:52 java spring spring-boot spring-security csrf Java开发

什么是CSRF令牌?它的重要性是什么?它是如何工作的?

我正在编写一个应用程序(Django，它确实发生了)，我只想知道实际上是什么"CSRF令牌"?是以及它如何保护数据. 如果您不使用CSRF令牌，发布数据是否不安全? 解决方案 简单的跨站请求伪造(CSRF) 假设您当前正在 www.mybank.com 登录到网上银行假设从 mybank.com 进行转帐，将会(在概念上)请求 http://www.mybank.com/tr ..

发布时间：2021-04-26 18:40:49 csrf 其他开发

禁止使用Spring Cloud Gateway POST

我在Cloud Gateway路由后面有一个具有RelayToken过滤器的资源服务: 路线:-ID:APIuri:http://rest-app:8080/apis谓词:-路径=/apis/**筛选器:-TokenRelay = GET请求可以正常工作，但是在POST上，我得到403 Forbidden，其中包含响应正文 CSRF令牌已与此客户端关联我试图禁用CSRF保护，添加 Bean ..

发布时间：2021-04-25 18:40:41 spring-security cross-domain csrf spring-cloud-gateway 其他开发

在CORS中发布/获取与放置/删除

我刚刚阅读了此: 同源策略允许使用GET和POST进行跨域HTTP请求方法，但拒绝源间的PUT和DELETE请求 PUT/DELETE有什么特别之处?他们为什么被封锁?无论如何，您都可以在POST方法中进行更新/删除. 使用CORS，为什么使用xml/json而不是application/x-www-form-urlencoded的POST请求被预检? 请解释为什么某些动词 ..

发布时间：2021-04-24 20:40:15 http cors csrf same-origin-policy 其他开发

与前端/后端位于两个不同域上的CORS控制相比，CSRF保护如何为我提供更高的安全性?

如果我有 一个域上的Web前端. 另一个域上的REST API. 通过将标头 Access-Control-Allow-Origin 设置为Web前端域，REST API服务器配置为仅允许来自Web前端域的跨源请求. 除了需要克服的障碍之外，CSRF还提供哪些额外的安全性?攻击者无法 POST 到我的后端，而不先将其代码注入Web前端，对吧? 克里斯·普拉特(Chris Prat ..

发布时间：2021-04-24 20:38:36 security cors csrf 其他开发

来自"www"的请求为何如此?子域到另一个被视为“相同站点"的子域?

为什么 www.web.dev 和 static.web.dev 计为同一站点，而 your-project.github.io 和 my-project.github.io 算作其他站点吗? 此页面有一部分( https://web.dev/samesite-cookies-explained/)使我感到困惑: 关键术语: 如果用户在www.web.dev上并要求从那么stat ..

发布时间：2021-04-24 19:57:22 cookies csrf 其他开发

保护oauth承载令牌免受javascript应用中的XSS，CSRF等攻击

我不清楚在使用纯JavaScript应用程序时如何保护(或保护)承载令牌. 我知道，当用户向服务器请求令牌时，它的有效期为14天或24小时.但是一旦用户获得了令牌，就没有任何一种可靠的方法来确保它免受XSS或CSRF攻击(我错过了什么吗?). 现在，可以说用户已登录到Web应用程序，并且浏览器具有此令牌，有效期为14天.如果用户正在访问另一个尝试执行XSS(或CSRF)的Web应用程序 ..

发布时间：2021-04-24 19:55:47 security cookies oauth xss csrf 其他开发

Flask –具有相同名称的多个会话Cookie

我在Flask应用程序中发现了一个非常奇怪的问题.我发现在某些情况下可以使用相同的名称创建多个会话cookie.我附上一张有关它的图片.它不是特定于浏览器的. ..

发布时间：2021-04-24 19:53:21 session flask cookies session-cookies csrf 其他开发

CakePHP:CMS教程:获取InvalidCsrfTokenException尽管csrf保护甚至没有激活

我在Lubuntu上设置了CakePHP 4.0.6.使用本地Apache服务器.安装顺利，我可以看到欢迎页面. 然后，我开始进行CMS教程，在数据库中创建表，然后使用bake创建所有内容 ./cake烘烤所有东西-效果也很好，我可以看到/users/index 页面. 接下来，我当然尝试通过添加用户来使用cms，显示了表格，我填写了所请求的信息，但是提交后出现此错误:缺少CSRF令牌 ..

发布时间：2021-04-21 18:49:48 cakephp csrf cakephp-4.x 其他开发

C#:即使在使用httpclient发送CSRF令牌后也获得403

我正试图从我的 UWP 应用中将有效负载发布到我们的后端系统.为此，我首先要执行GET来获取CSRF令牌，然后将其添加到POST请求的标头中.发布时，我仍然收到403 Forbidden错误. 我通过执行单独的GET和POST请求并将从GET获取的CSRF令牌提供给POST标头，来与"Insomnia" REST客户端进行交叉测试. 我是C#的新手，请原谅糟糕的编码标准. 获取令 ..

发布时间：2021-04-18 20:54:10 c# uwp csrf dotnet-httpclient C#/.NET

如何在axios中为不同主机使用Django的CSRF保护?

我正在将ReactJS项目作为前端，而将Django作为后端，并且在CSRF保护方面遇到了麻烦！ 我正在使用Django CORS标头，并且已正确完成所有设置.只要我具有本地主机即可访问前端和后端，它就可以工作.我的前端在localhost:3006上运行，后端在localhost:8899端口上运行.因此，前端将设置 csrftoken cookie并随请求发送. 我正在将 axio ..

发布时间：2021-04-13 18:50:04 django reactjs axios csrf 其他开发

使用laravel-cors和axios的POST的Laravel"CSRF令牌不匹配"

我有一个运行 Laravel 5.8 引擎的domain_A，可以在网络路由上返回API.它必须检查来源，以便仅提供包括domain_B在内的几个域. Barryvdh/laravel-cors 我通过作曲家安装了 barryvdh/laravel-cors ，并对其进行了全局配置以更新Kernel.php.这也应该适用于网络路由. kernel.php 受保护的$ middlew ..

发布时间：2021-04-13 18:48:14 laravel vue.js axios csrf 前端开发

axios删除方法给出了403

我正在从我的node-js应用程序中调用delete方法. 它在Postman上工作正常，但在调用此API时给了我403来自代码. 下面是我的示例代码片段: const实例= axios.create();instance.interceptors.request.use((config)=> {config.baseURL ='https://test-dev.com/api/p ..

发布时间：2021-04-13 18:45:31 javascript node.js axios csrf interceptor 前端开发

具有Firebase电子邮件/密码身份验证的CSRF保护

我正在努力将Node.js应用程序部署到生产环境中.我们一直在遇到一些CSRF问题，但是在深入研究该问题并了解了更多有关CSRF攻击的信息之后，我想知道我们是否还需要执行这些检查. 我们的CSRF检查中将我们的API列入了白名单，因此依赖该API的移动应用程序可以正常运行(我们正在努力保护其安全).在Web前端上，我们允许用户注册/登录并创建/编辑他们的数据.我们使用Firebase的电子邮 ..

发布时间：2021-04-12 19:50:25 node.js security authentication firebase-authentication csrf 其他开发