csrf相关内容

SESSION中的身份验证可以在没有状态的情况下工作吗?

我看到了类似的问题 Facebook身份验证示例CSRF ,他们说“哈希(或状态)是由您针对对Web服务(Facebook)的每个请求生成的,并存储在服务器的会话中。此哈希值与请求一起从您的网站发送给Facebook。Facebook将完全相同的哈希值作为响应中的参数发送回。” 这是否意味着在SESSION上没有状态,验证将不起作用? 解决方案 几个月前,我进行了这种登录。如果没有它 ..
发布时间:2020-10-11 23:57:36 PHP

CSRF和不断变化的代币

我刚刚在CSRF上看到了 Doctype的集。 他们说,CSRF的最佳预防方法是从某些用户唯一数据创建令牌(例如,对会话ID进行哈希处理),然后将其与您的请求一起发布。 生成难以猜测的值(例如GUID)并将其存储为会话变量并将其作为隐藏字段放入页面中,会不太安全吗? 每次加载页面时,值都会更改,但在此之前将对POST数据进行测试。 在我看来,这同样安全。我错了吗? 解 ..
发布时间:2020-10-11 23:57:30 其他开发

Angular,HTTP Get正常工作,Post收到CORS错误

设置 我有一个Angular应用程序在JSP应用程序的iframe中运行。 JSP应用程序是旧的,需要保留。 JSP和Angular都调用相同的REST服务。 JSP应用程序执行登录并接收会话cookie。由于Angular应用程序嵌入在SAME Tomcat服务器上的JSP应用程序中,因此会传输cookie(至少我理解的是)。 tomcat ├──Web应用程序 │├──jspa ..
发布时间:2020-10-11 23:56:23 前端开发

express.js CSURF cookie和标头匹配,返回403

我有一个简单的快速服务器设置,例如: app.use(bodyParser.json()); app.use(cookieParser()); app.use(csurf({cookie:true})); //路由 app.use(从另一个文件导入的路由); 客户端当前只是一种简单的反应形式。我在React应用程序加载之前已经加载了一些初始数据,并且在那 ..
发布时间:2020-10-11 23:55:12 其他开发

vaadin中每个请求的csrf令牌

我是vaadin的新手,我想实现一个csrf令牌保护,我发现vaadin已经在请求中注入了csrf令牌,但问题是csrf令牌在每个请求中都是相同的,是vaadin中的任何配置吗?在每个请求中生成新令牌?还是在创建新会话时强制vaadin重新生成csrf令牌? 我使用以下代码解决了会话固定漏洞,但问题是csrf令牌与先前的会话令牌保持相同;因为reinitializeSession方法使用新的 ..
发布时间:2020-10-11 23:55:07 其他开发

Symfony2 CRSF保护如何工作?

我正在尝试测试Symfony2完成的CRSF保护系统。 我的security.yml模板:(我修改了默认的。) 安全性: 防火墙: 开发人员: 模式:^ /(__(profiler | wdt) | css | images | js)/ 安全:假 登录: 模式:^ / demo / secured / login $ 安全:假 secure_area: 模式:^ / d ..
发布时间:2020-10-11 23:55:05 其他开发

使用随机标头的HTTP(S)请求安全

我了解 CSRF 是基于HTTP(S)的应用程序的主要安全问题。 从外观上看,大多数框架发送 CSRF 令牌作为请求正文的一部分。但是,就我而言,由于某些原因,这有点不雅观;最重要的是,我不想弄乱可能以许多不同格式发送 POST 请求的传输层,不一定全部都是 JSON 或 x-www-form-urlencoded 。 作为解决方案,我想到了更少的侵入性选择;特别是,我正在生成一个随机 ..
发布时间:2020-10-11 23:54:54 前端开发

如何在测试Django中禁用CSRF?

我在使用csrf令牌测试视图时遇到问题。 此代码 class ViewTests(TestCase): def test_bets_view(self): login_page = self.client.get('/ users / login /') print(login_page.content) 返回带有CSRF隐藏输入的HTML。 这是我 ..
发布时间:2020-10-11 23:53:45 其他开发

如何为未经授权的AJAX调用返回JSON响应,而不是作为AJAX响应返回登录页面?

我已经在我的应用程序中实现了Spring Security。如果有人要求对这些URL进行身份验证,则只要有人尝试访问任何URL,都会将用户重定向到登录页面。现在,如果对任何此类URL进行AJAX调用,我想返回JSON响应,而不是登录页面的HTML作为AJAX响应。我该怎么办? 解决方案 不久前面对同样的事情,提出了这种解决方案。 您必须重新定义身份验证入口点以处理异常并返回正确的JS ..
发布时间:2020-10-11 23:53:40 其他开发

防止URL中的跨站点请求伪造

我想我了解CSRF,以及如何使用表单键来防止这种情况发生,但这仅对来自表单的POST数据有用,对吧?在我的网站上,我让登录用户单击“删除”按钮删除一些项目,该按钮将其发送到delete.php?id = {item_id}。 在delete.php上我检查该项目是否属于用户,如果超过,则脚本将其删除。 如何停止其他站点发布链接,如www.mysite.com/delete.php?id=3 ..
发布时间:2020-10-11 23:53:38 PHP

Angular 2 Spring Security CSRF令牌

大家好,我无法为我的应用设置安全解决方案!! 因此,我有一个REST API后端,该后端运行在 http:// localhost:51030 上,并使用Spring Framework开发,对于前端,我有一个Angular 2应用程序(最新版本为AKA Angular 4),该应用程序在 http:// localhost:4200上运行。 我已经在后端中设置了CORS配置,如下所示: ..
发布时间:2020-10-11 23:53:07 其他开发

如何在Symfony中禁用CSRF?

我使用了下面的代码,它也具有csrf。但是,如何禁用其csrf?我进行了搜索,发现在登录表单上禁用CSRF令牌没有帮助,因为在那里 createFormBuilder()在下面的情况下不使用,那我该怎么办? $ csrfStorage = new NativeSessionTokenStorage(); $ csrfGenerator =新UriSafeTokenGenerator() ..
发布时间:2020-10-11 23:52:37 PHP

独立使用Symfony Form组件和security-csrf-提交错误

我有一个问题关于 symfony / form 作为独立组件使用,以及 security-csrf 与PHP构建一起运行-服务器中。我几乎不记得Symfony框架有这样的问题。 在将 symfony / form 设置为独立组件时,我尝试了两种代码v4.2和v5.1 https://github.com/xmgcoyi/standalone -forms / tree / 4.2 + twi ..
发布时间:2020-10-11 23:52:35 其他开发

如何使用Csurf保护我的React App API?

我试图在我的React应用中添加csrf保护,但是我一直都收到错误的令牌 import来自“ body-parser”的bodyParser; 从“ cookie-session”导入cookieSession;来自“护照”的 进口护照;从“ csurf”中导入 csrf,从“ ../../config”中导入 config,从“ ./routes/AuthRoutes”中导入Aut ..
发布时间:2020-10-11 23:52:31 其他开发

CSRF表单验证Laravel错误

在做我的laravel题词表格时,它工作得很好,突然我在添加验证电子邮件题词控制器后出现了csrf验证表格错误,这是错误消息: TokenMismatchException在VerifyCsrfToken.php 67行: 在我的表单中是这样的: @extends('index') @section('内容') ..
发布时间:2020-10-11 23:52:22 PHP

使用SPA的CSRF令牌

我将Vue js用于SPA,将Laravel用于后端。一切正常,但是提交表单后,crsf令牌显然没有刷新,因此当我去提交另一个表单时,我得到了 TokenMismatchException 。 我无法将csrf令牌放入表单,因为当表单试图作为vue中的组件时,vue尝试呈现时会抛出错误。 我可以通过搜索 name = _token 使用vue的默认公共头访问csrf令牌,该令牌将在第一 ..
发布时间:2020-10-11 23:51:15 前端开发