csrf 第34页 - IT屋-程序员软件开发技术分享社区

ValidateAntiForgeryToken盐值运行时加载

使用在 [ValidateAntiForgeryToken] 指令中的盐参数考虑一个ASP.NET MVC应用程序。该方案是这样的应用程序将得到众多客户使用。这是不是非常希望有盐在编译时已知。目前的策略是定位在web.config中的盐值。 [ValidateAntiForgeryToken（盐= Config.AppSalt） //Config.AppSalt是一个静态属性，读取we ..

发布时间：2016-06-20 12:31:19 asp.net-mvc csrf salt ASP .NET

RequestVerificationToken不符

我有反CRSF MVC机制的问题。 Cookie，并返回不匹配表单输入。我发现了一个错误，每一次，仅在一个特定的页面。在应用程序的其余部分效果很好。服务器返回 HTTP 500内部服务器错误，我可以在日志中看到此异常： [System.Web.Mvc.HttpAntiForgeryException]：{“需要防伪令牌未提供或者是无效的。“} 这是隐藏的输入该服务器产生的是： ..

发布时间：2016-06-20 12:00:27 asp.net-mvc asp.net-mvc-3 security csrf antiforgerytoken ASP .NET

用WebService的安全问题[获取]的要求？

的阅读著名的（只） ..

发布时间：2016-06-14 20:47:05 javascript asp.net web-services security csrf C#/.NET

我要建一个使用了大量的Ajax的应用程序。大多数防CSRF解决方案围绕着把一些信息的视图状态，并与后的数据工作。但是，我没有访问视图状态的Ajax调用。我计划生成一个GUID插入cookie中的令牌和会话状态，使得当用户注销时cookie的到期，在每个请求修改的cookie标记和会话状态，并使用一个HttpModule做的工作通过在会话使用什么是未来从客户端回，才去Web服务或页面方法比较什么 ..

发布时间：2016-06-11 21:10:32 asp.net security csrf C#/.NET

ASP.NET MVC HTML.AntiForgeryToken（）从一个页面的多个AJAX请求

我创建一个页面，使得多个AJAX形式的职位不需要刷新页面。我想用ASP.NET MVC HTML.AntiForgeryToken（）帮助，以确保对CSRF攻击的形式。我认为，在页面上每个窗体可以共享同样的道理，但它会允许具有同样的多个请求？如果不是有没有办法得到一个新的令牌或其他方式来确保表格？解决方案您可以共享同样的记号。当然，作为一般规则，它的强烈建议包装你的阿贾克斯在地连接 ..

发布时间：2016-06-09 19:46:09 c# asp.net asp.net-mvc csrf antiforgerytoken C#/.NET

MVC 2 AntiForgeryToken - 为什么对称加密+ IPrinciple？

我们最近更新了我们的解决方案，以MVC 2，这已经更新了 AntiForgeryToken 的工作方式。不幸的是，这并不符合我们的AJAX框架适应了。问题是MVC 2现在使用对称加密来连接code关于用户的一些属性，包括用户的名称属性（从的IPrincipal ）。我们能够进行安全注册使用AJAX一个新的用户，之后，后续Ajax调用将无效当用户已被授予新的主体防伪造凭证将发生变化。也有更新他们 ..

发布时间：2016-06-09 18:59:03 asp.net asp.net-mvc asp.net-mvc-2 csrf antiforgerytoken C#/.NET

CSRF验证令牌：会话ID安全吗？

在asp.net我实现一个IHttpModule的，以减轻CSRF攻击。它注入到反馈的HTML与asp.net的SessionID上获取一个隐藏的表单参数。在帖吧，然后进行检查，以确保隐藏的参数值当前的SessionID相匹配。据我所知，得到的SessionID值的唯一方法是从cookie，而不能读取或恶意站点来确定。有什么我可以俯瞰？解决方案这做法是正确的。你需要确保所有通过GET操 ..

发布时间：2016-06-05 20:42:41 asp.net security csrf C#/.NET

在API调用后删除CSRF protecteion

我想从我的前夫preSS 3.0应用程序中删除CSRF，因为我并不需要它。我使用OAuth验证客户端。是一个中间件白名单API网址使用前press.csrf（）的时候？解决方案您可以做两种方式。 1）创建您自己的小中间件允许白名单中的URL模式不被堵塞CSRF等; VAR前preSS =要求（“EX preSS”）; VAR前pressCsrf =前press.csrf（）; ..

发布时间：2016-05-22 22:21:55 node.js api express oauth csrf 其他开发

对于导轨API操作4跳绳protect_from_forgery

我已经实现与API一个Rails应用4。我希望能够从手机和web应用程序本身调用API。我碰到来到本说明同时研究 protect_from_forgery ：要记住，XML或JSON请求也受到影响是很重要的，如果你正在构建一个API，你需要这样的：类的ApplicationController＆LT; ActionController的基地:: protect_from_forge ..

发布时间：2016-05-22 20:50:44 ruby-on-rails json api ruby-on-rails-4 csrf 其他开发

如何确保Rails的API是从CSRF保护？

我一直在发展与REST API Rails应用程序从移动应用程序访问。它工作得很好。当用户从移动应用程序登录，他得到的auth_token ，他在他未来的API请求使用。问题是，API也从网络访问转至路径/ API / V1 / ......正因为如此，它必须得到保护，免受CSRF。我 BaseApiController 有类从的ApplicationController 继承 prote ..

发布时间：2016-05-22 20:09:05 ruby-on-rails ruby-on-rails-3 api csrf 其他开发

有一个POST'able API和Django的CSRF中间件

我必须同时具有前端，网络访问的组成部分，是由一个桌面客户端访问的API Django的web应用程序。但是，现在随着新CSRF中间件组件，从桌面客户端API请求是POST'ed得到403 我明白为什么会这样，但什么是解决这一问题不会影响安全性的正确方法？有什么方法，我可以在HTTP标头，它的API请求和Django的不应该检查CSRF或者是一个糟糕的战略？信号的修改 - 的我目前使用的 ..

发布时间：2016-05-22 19:37:53 django security api csrf 其他开发

警告：无法验证令牌CSRF的真实性API开发的情况下，

我现在开发Web 的API 与Ruby on Rails的。当Rails应用程序接收POST请求没有任何CSRF令牌，将出现以下错误消息。由于应用程序有没有意见。警告：无法验证令牌CSRF真伪所以我的问题是我怎么能在这种情况下安全逃离CSRF令牌检查？非常感谢你在前进。解决方案您可以通过添加做到这一点。 skip_before_filter：verify_authenticit ..

发布时间：2016-05-22 19:37:01 ruby ruby-on-rails-3 api token csrf 其他开发

Rails的API设计，无禁用CSRF保护

早在2011年2月时，Rails改为要求CSRF令牌所有非GET请求的，即使是那些对于API端点。我理解为什么这是浏览器请求一个重要的变化的解释，但博客文章不提供一个API应如何处理变化的任何建议。我不感兴趣，禁用CSRF保护某些动作。如何的API应该应对这种变化？那是一个API客户端发出GET请求API来获取一个CSRF令牌的预期，那么包括该届会议期间每个请求该令牌？看来，令牌不从一 ..

发布时间：2016-05-22 19:11:41 ruby-on-rails api csrf 其他开发

ModSecurity的CSRF规则警报

我已经安装了OWASP的ModSecurity，之后在我的应用程序的所有页面都有这个规则警报。的ModSecurity：警告。 “＆放大器; ARGS：CSRF_TOKEN”“EQ 1”对抗比赛必需的。 [文件“/etc/modsecurity/activated_rules/modsecurity_crs_43_csrf_protection.conf”] [行“31”] [ID为“9811 ..

发布时间：2016-05-21 13:38:34 apache csrf owasp mod-security 服务器开发

棱角分明，前pressjs和Lusca CSRF保护

我调查我的Angularjs和Ex pressjs CSRF保护（4.x版）的应用程序。目前我正在试图让Lusca（ https://www.npmjs.org/package/lusca ）的工作有没有成功的标准CSRF包（ https://www.npmjs.org /包/ CSRF ）。我已经包括lusca像这样： VAR lusca =要求（'lusca'）; app.use（ ..

发布时间：2016-05-11 22:14:30 node.js angularjs express csrf JavaScript

通过角无法解密CSRF / XSRF令牌Laravel发

我使用我的应用程序的angularavel设置。在我的本地设置我并不需要显式地发送 XSRF-TOKEN 通过角HTTP请求。它工作正常laravel。我上传的服务器上相同的设置，并尝试使用我的表单和laravel登录抛出一个标记不匹配错误。因此，我检查了开发工具的请求负载，发现有请求没有XSRF-TOKEN头，就像我在我的地方看看。我相信角生成一个默认情况下，并与每个HTTP请求发送，但不知道为 ..

发布时间：2016-05-10 20:30:44 php angularjs laravel csrf PHP

通过CSRF令牌blueimp文件上传

我建立使用AngularJS一个SPA（单页应用程序），以及文件上传我试图用Blueimp文件上传。服务器端是的NodeJS，使用CSRF所以所有的请求将被发送到CSRF令牌（X-XSRF-TOKEN由AngularJS设置）的服务器。现在，当我试图使用上传它Blueimp失败，文件 “错误：无效的CSRF令牌” 因为它不力附上必要的令牌的要求，现在我想知道如何设置令牌。请注意，我已经 ..

发布时间：2016-05-09 21:27:47 jquery angularjs node.js csrf blueimp JavaScript

春天CSRF + AngularJs

我已经尝试过许多aswers的这个话题，没有人对我的作品。我和春天MVC 4.1.7，春季安全3.2.3在MySQL + Tomcat7工作。一个基本的CRUD 问题是，当我尝试后与AngularJS形式，我一直被拦截的403错误（拒绝访问）。我想通了，我需要把我的CSRF_TOKEN与POST请求，但我无法弄清楚如何！我试过很多方法diferent，没有人的作品。我的文件 C ..

发布时间：2016-05-09 21:08:51 angularjs spring-mvc spring-security csrf JavaScript

索引页的设置PHP会话XSRF检查

我已在关于XSRF令牌运行到下面的问题。客户端：AngularJS 服务器：PHP 当在index.php被击中，PHP生成一个XSRF令牌，并在会话中保存它。一个cookie设置具有相同的值。 AngularJS读取cookie并存储的值。在随后的帖子中，XSRF令牌形式发来的标题，这个想法是存储会话令牌比较发送的报头。似乎一切都很好，没有任何问题。但是：问题是，PHP ..

发布时间：2016-05-09 20:40:00 php angularjs session csrf PHP

是访问控制允许来源足以preventing XSRF攻击？

我们正在构建与JBoss中运行的Java春/休眠后端的应用程序。前端是AngularJS。我们还没有做任何事情来在服务器端设置XSRF令牌。我们还没有（尚未反正）有一个条件，允许其他域访问我们的网络资源。我想我会尝试看看，如果我们的网站是容易受到攻击XSRF，所以我成立了一个恶意web应用程序采用了棱角分明的$ http.post（）张贴到我们的真正的应用程序的网址之一。我登录到真正的应用 ..

发布时间：2016-04-10 22:39:38 java angularjs spring security csrf Java开发

csrf相关内容