csrf相关内容

CSRF验证失败。请求中止

我试图建立一个非常简单的网站,可以在sqlite3数据库中添加数据。我有一个具有两个文本输入的POST表单。 index.html: {%if top_list%} 名称总计步骤 {%for top in top_list%} {{t.name}} {{t.total_steps}} ..
发布时间:2017-05-27 22:51:34 Python

Django CSRF框架无法被禁用,正在破坏我的网站

django csrf中间件无法禁用。我已经从我的项目的中间件中发表了评论,但由于缺少CSRF问题,我的登录失败。我正在Django中继线工作。如果中间件没有启用,CSRF如何导致问题? 我必须禁用它,因为在我的网站上有很多POST请求,CSRF刚刚中断。关于如何在django中继项目中完全禁用CSRF的任何反馈? Django中继线的“新”CSRF框架也打破了外部网站,在我给他们的网 ..
发布时间:2017-05-27 22:09:25 其他开发

Django Rest Framework删除csrf

我知道有关于Django Rest Framework的答案,但是我找不到我的问题的解决方案。 我有一个应用程序具有身份验证和一些功能。 我添加了一个新的应用程序,它使用Django Rest Framework。我只想在这个应用程序中使用库。另外我想要发出POST请求,我总是收到这个回复: { “detail”:“CSRF失败:CSRF令牌丢失或不正确。 } ..
发布时间:2017-05-27 21:13:46 其他开发

什么是CSRF令牌?它的重要性是什么,它如何工作?

好吧,我正在编写一个Django应用程序,我只想知道一个csrf令牌是什么,以及它如何保护数据。如果您不使用csrf令牌,帖子数据是否不安全? 我知道如何使用csrf_token,但我只需要一些信息如何工作。 解决方案 以简单的单词进行跨站点请求伪造(CSRF) 假设您目前正在以登录您的网上银行。www.mybank.com 假设从 mybank.com 将导致(概念)的请求 ..
发布时间:2017-05-27 21:03:08 其他开发

使用Ajax POST请求,Django CSRF检查失败

我可以通过我的AJAX帖子使用一些符合Django的CSRF保护机制的帮助。我按照这里的指示: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ 我已经复制了AJAX完全在该页面上的示例代码: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax 我 ..
发布时间:2017-05-27 20:46:13 前端开发

在发送安静的POST / PUT API之前,如何使用rails3.2.x获取CSRF令牌,没有服务器端的任何表单/ UI?

我知道rails的默认情况下提供了CSRF保护。 ,但我的Web应用程序是一个单一的页面应用程序,所有的通信都取决于ajax。 那么,在每个ajax调用之前,如何从服务器获取CSRF令牌? ? 或者我可以做的只是取消CSRF保护,对吗? 注意:我们不使用任何rails视图来生成网页,甚至首页,所以在.html或.erb中放置“ = csrf_meta_tag%>“的解决方案无效,我 ..
发布时间:2017-05-20 12:08:29 其他开发

GET请求(无JSON)无法使用Rails 4.1上的Devise 3.2.4验证CSRF令牌的真实性

我突然间无法再登录到我的应用程序生产环境。或者,如果我进入,只要我点击一个新的链接,我会被重定向到登录屏幕,我开始看到错误,如果我尝试再次登录。 日志如下(这是登录的情况,重定向回登录,然后再次登录)。 我的应用程序布局包括CSRF_meta_tags !!! %html %head %title = full_title(yield(:title)) = includ ..
发布时间:2017-05-20 11:16:23 其他开发

rails csrf验证在firefox

我有一个使用Devise进行身份验证的Rails创建的网站。它在Chrome中工作得很好,但在Firefox中我无法登录。我可以看到的是日志中的消息: 警告:无法验证CSRF令牌的真实性 登录屏幕返回没有任何错误消息。 有人可以给我一个提示,以照顾发生了什么吗? 解决方案 我有完全相同的问题。登录在Chrome中工作,而不是在FF中。 问题与CSRF无关,因为我评论过 prot ..
发布时间:2017-05-20 11:15:43 其他开发

InvalidAuthenticityToken in Devise :: SessionsController#destroy(已注销后退出)

我正在使用设计 3.2.0 进行身份验证,并发现在执行以下操作时出现问题: 标签1: b 标签2:转到应用中的任何页面 标签2:标记 out (成功) 标签1:标记出(失败 - 看到例外) 异常提出: ActionController :: InvalidAuthenticityToken在Devise :: SessionsController#destroy 在开发 ..
发布时间:2017-05-20 11:02:51 其他开发

Rails - 失去与集成测试和Capybara - CSRF相关的会话?

我正在使用Rails 3.1.0.rc4,并且正在努力使用capybara的新的类似牛扒的DSL和Rspec进行集成测试(使用Devise身份验证) 我遇到的问题是,当我进行集成测试时,来自capybara的机架测试驱动程序似乎完全失去了用户的登录会话,实际上,会话似乎完全清除了。 经过几天的调试,我完全失去了为什么。逐行走过中间件堆栈,我相信我已经将问题排除在导致此问题的 Activ ..
发布时间:2017-05-20 10:55:31 其他开发

使用PHP curl和CSRF令牌登录

我想从PHP脚本登录到另一个网站,但我总是得到这个回复: 403错误:CSRF令牌不匹配 我从网站上的隐藏字段提取CSRF令牌,但似乎是错误的。这是我的代码: $ username =“testuser” $ password =“testpass”; $ path =“c:\\test\\”; $ url =“http://itw.me/logi ..
发布时间:2017-03-06 02:21:16 PHP

适当的CORS设置是否阻止XSRF?

解决方案如果CORS在服务器上正确设置,只允许某些来源访问服务器,这是否足以防止XSRF攻击? div> 更具体地说,很容易犯错误的是,如果evil.com由于CORS不能向good.com发出请求,那么CSRF就会被阻止。但是,有两个问题被忽略: CORS仅受浏览器的影响。这意味着Google Chrome会遵循CORS,而不是让evil.com向good.com发出请求。但是,假设有人 ..
发布时间:2017-01-11 19:06:10 其它移动开发

使用CORS Origin标头与CSRF标记的CSRF保护

这个问题是关于仅针对跨站点请求伪造攻击的保护。 具体关于:通过Origin标头(CORS)通过CSRF令牌? 示例: Alice已登录一个cookie)与她的浏览器“ https://example.com ”。我假设她使用的是现代浏览器。 Alice访问“ https://evil.com ” ,而evil.com的客户端代码会对“ https://example.com ” ..
发布时间:2017-01-11 18:13:55 前端开发