csrf相关内容
我正在使用 Postman Rest 客户端来访问其他服务.当我尝试从 Postman 客户端执行 rest 服务时出现以下错误. HTTP 状态 403 - 跨站请求伪造验证失败.请求中止. 看来,其余服务通过 CSRF 令牌的实现得到保护.有人知道如何获取 CSRF 令牌并将其重用于未来的请求吗? 解决方案 有几种方法可以防止应用程序中的 CSRF.根据您的服务所具有的保护类型,您
..
我有一个来自数据库的条目列表.我想在每一行的末尾都有一个“删除按钮",这样用户就不必先去编辑/显示页面来删除条目. 我尝试使用 csrf 令牌创建一个隐藏的输入字段,如下所示: return $this->createFormBuilder()->getForm(); 这将输出:
..
我知道使用 form_rest 呈现 CSRF 令牌隐藏输入的常用方法,但是有没有办法呈现 just CSRF 输入本身?我在主题中覆盖了 {% block field_widget %} 以呈现一段额外的文本.但是由于 CSRF 令牌也在输入字段中呈现,并且我在隐藏字段旁边得到了一段我不需要的文本.所以我想用一个参数单独渲染它,告诉它不要渲染这个文本. 解决方案 你可以用 {{ form
..
我有一个使用 graphene-django 实现的 graphql 服务器.我可以像这样使用 jquery 对其进行查询: function allIngredients() {返回'查询{所有产品{边{节点{名称}}}}'}var 查询 = allIngredients();$.ajaxSetup({数据:{csrfmiddlewaretoken:'{{ csrf_token }}'},})
..
在 HTTP 标头中使用 X-CSRF-Token 或 token 有什么区别在隐藏的领域? 何时使用隐藏字段,何时使用标题,为什么? 我认为 X-CSRF-Token 是我使用 JavaScript/AJAX 但我不确定的时候. 解决方案 CSRF 保护有多种方法. 传统方式(“同步器令牌"模式)通常涉及设置每个请求的唯一有效令牌值,然后在随后发送请求时验证该唯一值.通常通
..
我有一个 struts2 webapp,我需要在其中实现 CSRF 保护.对于统计表格,它非常简单.我只需要激活 tokenSession 拦截器 &然后在要提交的表单中设置.(在 这里 和 这里) 但是当我需要为不一定通过表单提交的 POST AJAX 调用(我使用的是 jQuery)启用 CSRF 保护时,就会出现问题.在进行后续 AJAX 调用时,我面临重复使用令牌的问题. 感谢
..
我用过, Spring Framework 4.0.0 正式版(GA) Spring Security 3.2.0 发布(GA) Struts 2.3.16 其中,我使用内置的安全令牌来防范 CSRF 攻击. Struts 表单如下所示. 生成的HTML代码如下. 类型状态报告 message 在请求参数中发现无效的 CSRF Token 'null''_csr
..
我正在使用第三方库,它使用 new XMLHttpRequest 生成原始 XMLHttpRequest. 这绕过了我的 CSRF 保护并被我的 Rails 服务器击落. 有没有办法将预定义的 CSRF 令牌 ($('meta[name=csrf-token]').attr('content')) 全局添加到 的所有实例XMLHttpRequest 在实例化时? 解决方案 我建
..
如果在服务器上正确设置了 CORS,只允许特定来源访问服务器, 这足以防止 CSRF 攻击吗? 解决方案 更具体地说,很容易误以为如果 evil.com 由于 CORS 无法向 good.com 发出请求,那么 CSRF 就是阻止了.然而,有两个问题被忽略了: CORS 仅受浏览器支持.这意味着谷歌浏览器将遵守 CORS,并且不会让 evil.com 向 good.com 提出
..
为了在 Docker 中针对 Gitlab 实例测试命令行工具,我想使用用户名和密码登录 Gitlab 并获取创建的会话来验证我的 API 请求. 因此我做了以下事情: 使用 curl -i http://localhost:8080/users/sign_in -s 卷曲用户登录页面从标题中获取 _gitlab_session 从登录表单中获取 authenticity_toke
..
我想对 Stormpath 帖子,解释将 JWT 存储在 localStorage 或 cookie 中的优缺点. [...] 如果您使用 JS 从 cookie 中读取值,这意味着您无法在 cookie 上设置 Httponly 标志,所以现在您网站上的任何 JS可以读取它,从而使其具有与存储完全相同的安全级别localStorage 中的一些东西. 我试图了解他们为什么建议将 xs
..
首先,我假设有一个控制输入以防止 XSS 漏洞的后端. 在this answer中,@Les Hazlewood 解释了如何在客户端保护 JWT. 假设所有通信都使用 100% TLS - 无论是在期间还是任何时候登录后 - 通过基本用户名/密码进行身份验证身份验证和接收 JWT 作为交换是一个有效的用例.这几乎就是 OAuth 2 的流程之一(“密码授予")作品.[...] 您
..
我读到在使用 JWT 时,不需要防范 CSRF 攻击,例如:"因为你不依赖cookies,所以你不需要保护跨站请求". 但是,我不明白的事情:如果我将令牌存储在 localStorage 中(正如我被告知的那样 在同一网站的教程上),什么可以防止攻击者通过阅读我的 localStorage 而不是我的 cookie? 由于它是在服务器端生成的,我不明白如何在不将令牌存储在客户端某处的情
..
我知道基于 cookie 的身份验证.SSL 和 HttpOnly 标志可用于保护基于 cookie 的身份验证免受 MITM 和 XSS 的影响.但是,需要采取更多特殊措施来保护它免受 CSRF 的影响.它们只是有点复杂.(参考) 最近,我发现 JSON Web Token (JWT) 作为身份验证的解决方案非常热门.我知道有关编码、解码和验证 JWT 的知识.但是,我不明白为什么有些网站
..
最近几天我已经阅读了有关如何防止 CSRF 攻击的信息.我将在每次页面加载中更新令牌,将令牌保存在会话中并在提交表单时进行检查. 但是如果用户有,假设我的网站打开了 3 个标签,而我只是将最后一个令牌存储在会话中?这将用另一个令牌覆盖该令牌,并且某些后操作将失败. 我是否需要将所有令牌存储在会话中,还是有更好的解决方案来使其正常工作? 解决方案 是的,使用存储令牌方法,您必须保
..
问题场景: 我正在使用 Laravel 4 创建一个博客.负责创建新博客文章的表单受到 CSRF 保护 (Laravel 文档:CSRF 保护). 到目前为止一切正常,但似乎 laravel 不会在每个请求上刷新 csrf 令牌. 出现的问题是,如果用户点击浏览器的后退按钮返回到提交的表单,输入的数据仍然存在并且用户能够“重新提交"表单.这可能会为垃圾邮件发送者打开大门.
..
我是 Stackoverflow 和 Laravel 4 的新手,我正在尝试通过 jquery ajax 提交表单.我 serializeArray() 表单并使用 json 提交它.在 laravel 中,在我检查提交的 csrf 令牌的路由中,转到我的控制器以获取流程输入.当 _token 输入与 serializeArray() 一样位于数组中时,csrf 检查不起作用.我必须获取 _tok
..
突然间我无法再登录到我在 heroku 上的应用程序生产环境.或者,如果我进入了,只要我点击一个新链接,我就会被重定向到登录屏幕,如果我再次尝试登录,我就会在那里看到错误. 日志如下(这是在登录的情况下,重定向回登录然后再次登录). 我的应用程序布局包括 CSRF_meta_tags !!!%html%头%title= full_title(yield(:title))= inclu
..
我有一个用 Rails 创建的站点,使用 Devise 进行身份验证.它在 Chrome 中运行良好,但在 Firefox 中我无法登录.我只能看到日志中的一条消息:警告:无法验证 CSRF 令牌的真实性并且登录屏幕返回时没有任何错误消息. 有人可以提示我在哪里处理正在发生的事情吗? 解决方案 我遇到了完全相同的问题.登录在 Chrome 中工作,而不是在 FF 中工作.该问题与 C
..
我正在使用 Devise 3.2.0 进行身份验证,并在执行以下操作时发现问题: 标签 1:登录应用 标签 2:转到应用中的任何页面 标签 2:退出退出(成功) 标签 1:注销退出(失败 - 请参阅下面的例外) 引发异常: ActionController::InvalidAuthenticityToken in Devise::SessionsController#des
..