csrf相关内容
我看到了类似的问题 Facebook身份验证示例CSRF ,他们说“哈希(或状态)是由您针对对Web服务(Facebook)的每个请求生成的,并存储在服务器的会话中。此哈希值与请求一起从您的网站发送给Facebook。Facebook将完全相同的哈希值作为响应中的参数发送回。” 这是否意味着在SESSION上没有状态,验证将不起作用? 解决方案 几个月前,我进行了这种登录。如果没有它
..
我刚刚在CSRF上看到了 Doctype的集。 他们说,CSRF的最佳预防方法是从某些用户唯一数据创建令牌(例如,对会话ID进行哈希处理),然后将其与您的请求一起发布。 生成难以猜测的值(例如GUID)并将其存储为会话变量并将其作为隐藏字段放入页面中,会不太安全吗? 每次加载页面时,值都会更改,但在此之前将对POST数据进行测试。 在我看来,这同样安全。我错了吗? 解
..
设置 我有一个Angular应用程序在JSP应用程序的iframe中运行。 JSP应用程序是旧的,需要保留。 JSP和Angular都调用相同的REST服务。 JSP应用程序执行登录并接收会话cookie。由于Angular应用程序嵌入在SAME Tomcat服务器上的JSP应用程序中,因此会传输cookie(至少我理解的是)。 tomcat ├──Web应用程序 │├──jspa
..
我刚刚验证了一个新站点,这个新站点是我使用Rails 3编写的,具有W3C标记验证功能,但是我遇到了Rails生成的CSRF标签的错误。 “元素元上属性名称的错误值csrf-param:关键字csrf-param未注册。” AND “糟糕元素met
..
我有一个简单的快速服务器设置,例如: app.use(bodyParser.json()); app.use(cookieParser()); app.use(csurf({cookie:true})); //路由 app.use(从另一个文件导入的路由); 客户端当前只是一种简单的反应形式。我在React应用程序加载之前已经加载了一些初始数据,并且在那
..
我是vaadin的新手,我想实现一个csrf令牌保护,我发现vaadin已经在请求中注入了csrf令牌,但问题是csrf令牌在每个请求中都是相同的,是vaadin中的任何配置吗?在每个请求中生成新令牌?还是在创建新会话时强制vaadin重新生成csrf令牌? 我使用以下代码解决了会话固定漏洞,但问题是csrf令牌与先前的会话令牌保持相同;因为reinitializeSession方法使用新的
..
我正在尝试测试Symfony2完成的CRSF保护系统。 我的security.yml模板:(我修改了默认的。) 安全性: 防火墙: 开发人员: 模式:^ /(__(profiler | wdt) | css | images | js)/ 安全:假 登录: 模式:^ / demo / secured / login $ 安全:假 secure_area: 模式:^ / d
..
我了解 CSRF 是基于HTTP(S)的应用程序的主要安全问题。 从外观上看,大多数框架发送 CSRF 令牌作为请求正文的一部分。但是,就我而言,由于某些原因,这有点不雅观;最重要的是,我不想弄乱可能以许多不同格式发送 POST 请求的传输层,不一定全部都是 JSON 或 x-www-form-urlencoded 。 作为解决方案,我想到了更少的侵入性选择;特别是,我正在生成一个随机
..
我在使用csrf令牌测试视图时遇到问题。 此代码 class ViewTests(TestCase): def test_bets_view(self): login_page = self.client.get('/ users / login /') print(login_page.content) 返回带有CSRF隐藏输入的HTML。 这是我
..
在SugarCRM 8.0.1中,我试图使一个未注册的新动作生效。 该动作是一种表单,已添加到我的自定义模块中。我正在尝试通过以下方式从自身获取信息,以便在提交表单时,将表单数据发送回自身(又名 action 链接返回到表单在同一页面上)
..
我已经在我的应用程序中实现了Spring Security。如果有人要求对这些URL进行身份验证,则只要有人尝试访问任何URL,都会将用户重定向到登录页面。现在,如果对任何此类URL进行AJAX调用,我想返回JSON响应,而不是登录页面的HTML作为AJAX响应。我该怎么办? 解决方案 不久前面对同样的事情,提出了这种解决方案。 您必须重新定义身份验证入口点以处理异常并返回正确的JS
..
我想我了解CSRF,以及如何使用表单键来防止这种情况发生,但这仅对来自表单的POST数据有用,对吧?在我的网站上,我让登录用户单击“删除”按钮删除一些项目,该按钮将其发送到delete.php?id = {item_id}。 在delete.php上我检查该项目是否属于用户,如果超过,则脚本将其删除。 如何停止其他站点发布链接,如www.mysite.com/delete.php?id=3
..
大家好,我无法为我的应用设置安全解决方案!! 因此,我有一个REST API后端,该后端运行在 http:// localhost:51030 上,并使用Spring Framework开发,对于前端,我有一个Angular 2应用程序(最新版本为AKA Angular 4),该应用程序在 http:// localhost:4200上运行。 我已经在后端中设置了CORS配置,如下所示:
..
我使用了下面的代码,它也具有csrf。但是,如何禁用其csrf?我进行了搜索,发现在登录表单上禁用CSRF令牌没有帮助,因为在那里 createFormBuilder()在下面的情况下不使用,那我该怎么办? $ csrfStorage = new NativeSessionTokenStorage(); $ csrfGenerator =新UriSafeTokenGenerator()
..
我有一个问题关于 symfony / form 作为独立组件使用,以及 security-csrf 与PHP构建一起运行-服务器中。我几乎不记得Symfony框架有这样的问题。 在将 symfony / form 设置为独立组件时,我尝试了两种代码v4.2和v5.1 https://github.com/xmgcoyi/standalone -forms / tree / 4.2 + twi
..
我试图在我的React应用中添加csrf保护,但是我一直都收到错误的令牌 import来自“ body-parser”的bodyParser; 从“ cookie-session”导入cookieSession;来自“护照”的 进口护照;从“ csurf”中导入 csrf,从“ ../../config”中导入 config,从“ ./routes/AuthRoutes”中导入Aut
..
根据文档,我应该能够在标题中包含CSRF令牌,使用jquery捕获它们,并将它们包含在我的Ajax调用的标题中。 不幸的是,包括
..
我已经设置了Web应用程序,以通过在faces-config,protected-views中列出各个页面来防御CSRF。 这在本地运行时效果很好,但是部署到服务器后,打开页面链接时最终出现以下错误: javax.faces.application.ProtectedViewException:JSF1099 :引荐网址[sic]标头值http:// [redacted] /fina
..
在做我的laravel题词表格时,它工作得很好,突然我在添加验证电子邮件题词控制器后出现了csrf验证表格错误,这是错误消息: TokenMismatchException在VerifyCsrfToken.php 67行: 在我的表单中是这样的: @extends('index') @section('内容')
..
我将Vue js用于SPA,将Laravel用于后端。一切正常,但是提交表单后,crsf令牌显然没有刷新,因此当我去提交另一个表单时,我得到了 TokenMismatchException 。 我无法将csrf令牌放入表单,因为当表单试图作为vue中的组件时,vue尝试呈现时会抛出错误。 我可以通过搜索 name = _token 使用vue的默认公共头访问csrf令牌,该令牌将在第一
..