csrf相关内容

针对 AJAX 请求的 Yii 2.0 CSRF 验证

我有一个 ajax 函数，可以触发从我的数据库中删除条目. 我需要为此做 CSRF 验证.我该怎么做? 我将 CSRF cookie 与我的 post 请求一起发送，但是 Yii 2.0 没有验证它，任何通过 ajax 传递的输入都到达了服务器. 如何对ajax请求进行CSRF验证. 是否需要手动设置cookie并检查? 解决方案 您无需手动设置 cookie. ..

发布时间：2022-01-07 09:15:02 php yii2 csrf PHP

HttpException:400 无法验证您提交的数据

我的日志文件充满了这些错误 2021-11-19 12:39:42 [27.xxx.xxx.xxx][1958][gi96uqh6atadlbsg2ksjfltd9e][error][yii\web\HttpException:400] yii\web\BadRequestHttpException: Unable验证您提交的数据.在/var/www/html/vendor/yiisoft/yi ..

发布时间：2022-01-07 08:59:42 php yii2 csrf PHP

Yii2框架如何处理CSRF验证?

我在 yii2 中遇到 CSRF 验证问题.验证与 gii 生成的默认表单一起工作正常，但是当我使用 html 标签编辑表单时，表单提交会引发错误的请求错误.我已禁用 csrf 验证以隐藏错误，但我想将其用于应用程序和数据验证的安全性. 有没有办法解决这个错误，或者有没有办法配置它在这种情况下正常工作? 解决方案 我猜，你的 html 表单没有隐藏的 _csrf 字段，它是由标准 Y ..

发布时间：2022-01-07 08:40:48 php csrf yii2 PHP

在 Yii2 中禁用单个操作的 CSRF 验证

有没有办法为控制器的某些操作禁用 CSRF 验证，并为其他操作启用它? 就我而言，我有几个可配置的 Action 类，它们旨在注入控制器.我无法将 csrf 验证令牌传递到 AJAX 请求中，因为我正在使用的东西是前端的外部(不是我制作的)WYSIWYG 插件.是的，我仍然可以使用这些操作禁用整个控制器的 csrf 验证，但它可能不安全. 解决方案 对于特定的控制器/动作，您可以像这 ..

发布时间：2022-01-07 08:33:42 csrf yii2 其他开发

Yii2 如何在 gridview 中为批量操作正确创建复选框列?

我需要创建类似于 wordpress 帖子管理的“批量操作"，例如，您可以一次删除多个记录. 这是我的方法，效果很好，但我确定这不是最好的方法，因为这种方法容易受到 CSRF 黑客的攻击. gridview 中的复选框列: GridView::widget(['数据提供者' =>$数据提供者，'列' =>[['类' =>'yii\grid\CheckboxColumn'],'id'= ..

发布时间：2022-01-04 08:53:30 yii csrf yii2 csrf-protection 其他开发

设置 Ring-Anti-Forgery CSRF 标头令牌

我正在尝试通过设置 X-CSRF 来实现 Ring-Anti-Forgery 库- 标头中的令牌. 因为我使用的是静态 html 文件，所以我发现内置的 hiccup 助手(它在表单中设置令牌)没有用. 这是我第一次尝试使用 Clojure 进行 Web 开发，所以我猜我完全错过了对有经验的人来说应该显而易见的东西. 来自README状态的说明: 中间件还会在 X-CSRF ..

发布时间：2022-01-02 22:49:02 clojure header csrf middleware ring 其他开发

Play 2.5 对某些请求禁用 csrf 保护

我正在使用 play 框架 v. 2.5.3 编写我的应用，并使用官方文档中描述的 CSRF 保护. 公共类过滤器实现了 HttpFilters {@注入CSRFFilter csrfFilter;@覆盖公共 EssentialFilter[] 过滤器(){返回新的 EssentialFilter[]{csrfFilter.asJava()};}} 当然可以，只要所有的请求都需要过滤，但其中一 ..

发布时间：2022-01-02 22:05:07 java playframework csrf playframework-2.5 Java开发

为什么不使用会话 ID 作为 XSRF 令牌?

为什么 Play Framework 使用 [会话 ID 的签名版本] 作为 跨站点请求伪造 (XSRF/CSRF) 预防令牌，而不是会话 ID 本身? (使用 XSRF 预防令牌，我的意思是必须包含在表单提交中的魔法值，以便 web 应用程序接受表单.) 如果有窃听者，他/她无论如何都会找到 XSRF 令牌和 SID cookie(?). 如果存在 XSS 漏洞，那么恶意 Ja ..

发布时间：2022-01-02 21:49:05 security cookies playframework csrf 其他开发

如何在表单的 AJAX 发布请求中传递 CSRF 令牌?

我正在使用 Scala Play！2.6 框架，但这可能不是问题.我正在使用他们的 Javascript 路由 - 它似乎工作正常，但它有问题.我有一个表单，它在呈现时会产生这个，带有一个 CSRF 令牌: ..

发布时间：2022-01-02 21:29:14 jquery ajax scala playframework csrf 前端开发

Rails - 失去与集成测试和 Capybara 的会话 - CSRF 相关?

我正在使用 Rails 3.1.0.rc4，我正在使用 capybara 的新 Steak-like DSL 和 Rspec(使用 Devise 身份验证)进行集成测试 我遇到的问题是，当我运行集成测试时，来自 capybara 的机架测试驱动程序似乎完全丢失了用户的登录会话，实际上，会话似乎完全清除了. > 经过几天的调试，我完全不知道为什么.逐行浏览中间件堆栈，我相信我已经将问题归结 ..

发布时间：2022-01-02 09:54:59 ruby-on-rails rspec devise capybara csrf 其他开发

使用 Firebase 电子邮件/密码身份验证的 CSRF 保护

我正在将我的 Node.js 应用程序部署到生产环境中.我们遇到了一些 CSRF 问题，但在深入研究问题并了解有关 CSRF 攻击的更多信息后，我想知道我们是否甚至需要执行这些检查. 我们的 API 已从我们的 CSRF 检查中列入白名单，因此我们依赖该 API 的移动应用可以正常运行(我们目前正在努力确保其安全).在 Web 前端，我们允许用户注册/登录并创建/编辑他们的数据.我们使用 F ..

发布时间：2022-01-01 19:22:12 node.js security authentication firebase-authentication csrf 其他开发

CSRF 令牌丢失或不正确

这里是 Django 的初学者，我已经尝试解决这个问题很长时间了.我的中间件类中有“django.middleware.csrf.CsrfViewMiddleware"，并且我的帖子表单中有令牌. 这是我的代码，我做错了什么? from django.contrib.auth.forms import UserCreationForm从 django.shortcuts 导入 rende ..

发布时间：2022-01-01 12:53:28 python django django-forms csrf Python

如何使用 Axios 将 CSRF Coo​​kie 从 React 发送到 Django Rest Framework

我想从使用 Axios 的 React 应用向 Django Rest Framework 后端发出 POST 请求.我设法从后端获得了一个 CSRF 令牌，但我无法通过我的请求发送它，所以我总是收到一个 Forbidden(CSRF cookie not set.) 错误: 这是我的 React 应用程序的代码: handleClick() {const axios = require( ..

发布时间：2022-01-01 10:28:12 reactjs django-rest-framework axios csrf django-csrf 其他开发

与 Rails 5 反应，使用 axios 发布 CSRF 错误

我正在尝试使用 react_on_rails 来构建我的第一个带有 react 和 rails 的示例.我正在尝试将一些数据保存到 rails 后端，将 axios 用于 ajax. 这是我的代码: 从“../store/helloWorld"导入商店；从“axios"导入 axios；export const SAVE_NAME = "SAVE_NAME";导出函数 saveNameAc ..

发布时间：2022-01-01 10:25:45 ruby-on-rails ajax reactjs csrf axios 前端开发

axios 删除方法给出 403

我正在从我的 node-js 应用程序调用 delete 方法. 它在 Postman 上运行良好，但在调用此 API 时给了我 403来自代码. 以下是我的示例代码片段: const instance = axios.create();instance.interceptors.request.use((config) => {config.baseURL = 'https://t ..

发布时间：2022-01-01 10:05:59 javascript node.js axios csrf interceptor 前端开发

使用 python 请求传递 csrftoken

你如何通过 python 模块请求传递 csrftoken?这就是我所拥有的，但它不起作用，而且我不确定将其传递给哪个参数(数据、标题、身份验证...) 导入请求从 bs4 导入 BeautifulSoupURL = 'https://portal.bitcasa.com/login'客户端 = requests.session(config={'verbose': sys.stderr})# ..

发布时间：2021-12-31 19:46:59 python csrf python-requests Python

如何在 AJAX 中使用 Zend Framework Form Hash(令牌)

我已将 Zend_Form_Element_Hash 包含在一个多复选框表单中.我将 jQuery 设置为在单击复选框时触发 AJAX 请求，我通过此 AJAX 请求传递令牌.第一个 AJAX 请求效果很好，但随后的请求失败了. 我怀疑可能是一旦令牌经过验证，它就会从会话中删除(hop = 1). 对于使用 Zend Framework Hash 保护表单并使用 AJAX 来完成其中一 ..

发布时间：2021-12-29 15:37:21 ajax zend-framework zend-form csrf 前端开发

SPA 中刷新令牌 Cookie 的 CSRF 保护

我在 AngularJS SPA 中使用资源所有者密码凭据 OAuth 2.0 流程.有几篇文章(这里，这里 ..) 和 这个问题 解释了我们不应该将刷新令牌存储在(Web)客户端(LocalStorage)上，而是将它们加密存储在 HttpOnly Cookie 中并使用代理 API，我们在其中实现对刷新令牌的解密将其转发到安全令牌服务. 大多数文章都暗示我们应该通过使用一种常见的保护机制 ..

发布时间：2021-12-29 15:08:13 javascript angularjs security oauth-2.0 csrf 前端开发

为什么我的 require.js 配置中的 shim 没有调用?

更新: 我正在编写一个小模块来处理 backbone 中的这个 csrf 令牌问题，直到我收到@Louis 回答的推送通知. 他的回答非常优雅，看起来不错，但我会留下一个链接到我的backbone.csrf 模块 github 存储库，仅供需要它的人使用. ============================================================== ..

发布时间：2021-12-29 09:45:57 javascript django backbone.js requirejs csrf 前端开发

使用主干和 node.js 进行 CSRF 防御

我正在使用主干和 node.js 创建一个网站，并且认为默认情况下没有针对 CSRF 的任何保护.在 node.js 中使用主干时，是否有针对 CSRF 进行项目的标准方法?谢谢 解决方案 您可以简单地确保请求具有值为 XMLHTTPRequest 的 X-Requested-By 标头.AJAX 请求具有跨域限制，因此如果该标头存在，则它不是例如恶意网站上的隐藏表单. ..

发布时间：2021-12-29 09:43:27 node.js backbone.js csrf 其他开发