csrf相关内容

如何使用 Postman Rest Client 获取和重用 CSRF 令牌

我正在使用 Postman Rest 客户端来访问其他服务.当我尝试从 Postman 客户端执行 rest 服务时出现以下错误. HTTP 状态 403 - 跨站请求伪造验证失败.请求中止. 看来,其余服务通过 CSRF 令牌的实现得到保护.有人知道如何获取 CSRF 令牌并将其重用于未来的请求吗? 解决方案 有几种方法可以防止应用程序中的 CSRF.根据您的服务所具有的保护类型,您 ..
发布时间:2022-01-22 14:38:16 其他开发

Symfony 2 - 删除表单和 CSRF 令牌

我有一个来自数据库的条目列表.我想在每一行的末尾都有一个“删除按钮",这样用户就不必先去编辑/显示页面来删除条目. 我尝试使用 csrf 令牌创建一个隐藏的输入字段,如下所示: return $this->createFormBuilder()->getForm(); 这将输出: ..
发布时间:2022-01-22 09:28:48 前端开发

如何在树枝中呈现 CSRF 输入?

我知道使用 form_rest 呈现 CSRF 令牌隐藏输入的常用方法,但是有没有办法呈现 just CSRF 输入本身?我在主题中覆盖了 {% block field_widget %} 以呈现一段额外的文本.但是由于 CSRF 令牌也在输入字段中呈现,并且我在隐藏字段旁边得到了一段我不需要的文本.所以我想用一个参数单独渲染它,告诉它不要渲染这个文本. 解决方案 你可以用 {{ form ..
发布时间:2022-01-22 09:20:38 PHP

CSRF 和 X-CSRF-Token 的区别

在 HTTP 标头中使用 X-CSRF-Token 或 token 有什么区别在隐藏的领域? 何时使用隐藏字段,何时使用标题,为什么? 我认为 X-CSRF-Token 是我使用 JavaScript/AJAX 但我不确定的时候. 解决方案 CSRF 保护有多种方法. 传统方式(“同步器令牌"模式)通常涉及设置每个请求的唯一有效令牌值,然后在随后发送请求时验证该唯一值.通常通 ..
发布时间:2022-01-17 17:18:43 其他开发

如何在 Struts2 应用程序中为 AJAX 请求做 CSRF 保护

我有一个 struts2 webapp,我需要在其中实现 CSRF 保护.对于统计表格,它非常简单.我只需要激活 tokenSession 拦截器 &然后在要提交的表单中设置.(在 这里 和 这里) 但是当我需要为不一定通过表单提交的 POST AJAX 调用(我使用的是 jQuery)启用 CSRF 保护时,就会出现问题.在进行后续 AJAX 调用时,我面临重复使用令牌的问题. 感谢 ..
发布时间:2022-01-16 22:37:19 前端开发

正确的 CORS 设置是否可以防止 CSRF 攻击?

如果在服务器上正确设置了 CORS,只允许特定来源访问服务器, 这足以防止 CSRF 攻击吗? 解决方案 更具体地说,很容易误以为如果 evil.com 由于 CORS 无法向 good.com 发出请求,那么 CSRF 就是阻止了.然而,有两个问题被忽略了: CORS 仅受浏览器支持.这意味着谷歌浏览器将遵守 CORS,并且不会让 evil.com 向 good.com 提出 ..
发布时间:2022-01-15 19:52:02 其他开发

使用 cURL 使用用户名和密码登录 Gitlab

为了在 Docker 中针对 Gitlab 实例测试命令行工具,我想使用用户名和密码登录 Gitlab 并获取创建的会话来验证我的 API 请求. 因此我做了以下事情: 使用 curl -i http://localhost:8080/users/sign_in -s 卷曲用户登录页面从标题中获取 _gitlab_session 从登录表单中获取 authenticity_toke ..
发布时间:2022-01-10 11:01:00 其他开发

为什么要将 CSRF 令牌放入 JWT 令牌中?

我想对 Stormpath 帖子,解释将 JWT 存储在 localStorage 或 cookie 中的优缺点. [...] 如果您使用 JS 从 cookie 中读取值,这意味着您无法在 cookie 上设置 Httponly 标志,所以现在您网站上的任何 JS可以读取它,从而使其具有与存储完全相同的安全级别localStorage 中的一些东西. 我试图了解他们为什么建议将 xs ..
发布时间:2022-01-10 09:25:55 前端开发

为什么同源策略不足以防止 CSRF 攻击?

首先,我假设有一个控制输入以防止 XSS 漏洞的后端. 在this answer中,@Les Hazlewood 解释了如何在客户端保护 JWT. 假设所有通信都使用 100% TLS - 无论是在期间还是任何时候登录后 - 通过基本用户名/密码进行身份验证身份验证和接收 JWT 作为交换是一个有效的用例.这几乎就是 OAuth 2 的流程之一(“密码授予")作品.[...] 您 ..
发布时间:2022-01-10 08:44:24 其他开发

使用 JSON Web 令牌进行 CSRF 保护

我读到在使用 JWT 时,不需要防范 CSRF 攻击,例如:"因为你不依赖cookies,所以你不需要保护跨站请求". 但是,我不明白的事情:如果我将令牌存储在 localStorage 中(正如我被告知的那样 在同一网站的教程上),什么可以防止攻击者通过阅读我的 localStorage 而不是我的 cookie? 由于它是在服务器端生成的,我不明白如何在不将令牌存储在客户端某处的情 ..
发布时间:2022-01-10 08:38:03 其他开发

在浏览器中存储 JWT 的位置?如何防范 CSRF?

我知道基于 cookie 的身份验证.SSL 和 HttpOnly 标志可用于保护基于 cookie 的身份验证免受 MITM 和 XSS 的影响.但是,需要采取更多特殊措施来保护它免受 CSRF 的影响.它们只是有点复杂.(参考) 最近,我发现 JSON Web Token (JWT) 作为身份验证的解决方案非常热门.我知道有关编码、解码和验证 JWT 的知识.但是,我不明白为什么有些网站 ..
发布时间:2022-01-10 08:30:50 其他开发

PHP - CSRF - 如何让它在所有选项卡中工作?

最近几天我已经阅读了有关如何防止 CSRF 攻击的信息.我将在每次页面加载中更新令牌,将令牌保存在会话中并在提交表单时进行检查. 但是如果用户有,假设我的网站打开了 3 个标签,而我只是将最后一个令牌存储在会话中?这将用另一个令牌覆盖该令牌,并且某些后操作将失败. 我是否需要将所有令牌存储在会话中,还是有更好的解决方案来使其正常工作? 解决方案 是的,使用存储令牌方法,您必须保 ..
发布时间:2022-01-09 20:17:12 PHP

Laravel 4:防止多个表单提交 - CSRF Token

问题场景: 我正在使用 Laravel 4 创建一个博客.负责创建新博客文章的表单受到 CSRF 保护 (Laravel 文档:CSRF 保护). 到目前为止一切正常,但似乎 laravel 不会在每个请求上刷新 csrf 令牌. 出现的问题是,如果用户点击浏览器的后退按钮返回到提交的表单,输入的数据仍然存在并且用户能够“重新提交"表单.这可能会为垃圾邮件发送者打开大门. ..
发布时间:2022-01-08 08:38:47 PHP

Laravel 4 CSRF 表单通过 Ajax 调用提交

我是 Stackoverflow 和 Laravel 4 的新手,我正在尝试通过 jquery ajax 提交表单.我 serializeArray() 表单并使用 json 提交它.在 laravel 中,在我检查提交的 csrf 令牌的路由中,转到我的控制器以获取流程输入.当 _token 输入与 serializeArray() 一样位于数组中时,csrf 检查不起作用.我必须获取 _tok ..
发布时间:2022-01-08 08:27:00 其他开发

GET 请求(无 JSON)无法在 Rails 4.1 上使用 Devise 3.2.4 验证 CSRF 令牌的真实性

突然间我无法再登录到我在 heroku 上的应用程序生产环境.或者,如果我进入了,只要我点击一个新链接,我就会被重定向到登录屏幕,如果我再次尝试登录,我就会在那里看到错误. 日志如下(这是在登录的情况下,重定向回登录然后再次登录). 我的应用程序布局包括 CSRF_meta_tags !!!%html%头%title= full_title(yield(:title))= inclu ..
发布时间:2022-01-07 17:08:48 其他开发

Firefox 中的 rails csrf 验证

我有一个用 Rails 创建的站点,使用 Devise 进行身份验证.它在 Chrome 中运行良好,但在 Firefox 中我无法登录.我只能看到日志中的一条消息:警告:无法验证 CSRF 令牌的真实性并且登录屏幕返回时没有任何错误消息. 有人可以提示我在哪里处理正在发生的事情吗? 解决方案 我遇到了完全相同的问题.登录在 Chrome 中工作,而不是在 FF 中工作.该问题与 C ..
发布时间:2022-01-07 17:06:45 其他开发

InvalidAuthenticityToken in Devise::SessionsController#destroy(已经退出后退出)

我正在使用 Devise 3.2.0 进行身份验证,并在执行以下操作时发现问题: 标签 1:登录应用 标签 2:转到应用中的任何页面 标签 2:退出退出(成功) 标签 1:注销退出(失败 - 请参阅下面的例外) 引发异常: ActionController::InvalidAuthenticityToken in Devise::SessionsController#des ..
发布时间:2022-01-07 16:51:41 其他开发