csrf 第4页 - IT屋-程序员软件开发技术分享社区

如何演示 CSRF 攻击

我正在向我们企业中的其他人介绍网络安全，我想展示一些示例以产生更大的影响. 为此，我创建了一个容易受到此攻击的小网站，该网站只能在我们的网络上访问. 我现在正在尝试利用这种攻击，但我有一个问题: 如何使用 POST 表单执行此操作? 使用 GET 查询执行此操作没有问题，但是使用 POST 时，我正在尝试使用 javascript 执行此操作，如果我将代码托管在同一主机上没 ..

发布时间：2021-12-28 14:09:52 security web-applications csrf 其他开发

如何在 Javascript 生成的 HTML 表单中包含 Django 1.2 的 CSRF 令牌?

我最近升级到 Django 1.2.3，但我的上传表单已损坏.每当我尝试上传时，我都会收到“CSRF 验证失败.请求中止".错误信息. 阅读Django 的文档后关于这个主题，它指出我需要在模板的 HTML 中添加 {% csrf_token %} 模板标签.不幸的是，我的是通过 JavaScript 生成的(特别是 ExtJs 在面板上的“html"属性). 长话 ..

发布时间：2021-12-25 17:53:47 javascript django extjs csrf django-csrf 前端开发

在 Spring MVC 上使用 Servlet 3.0 的 MultipartConfig

如何将多部分配置添加到使用带有 RequestMapping 注释的方法的控制器的 spring mvc 应用程序中? 背景: 我想启用 csrf 保护，因此在我的 spring 配置中添加了 security:csrf 标签.我有一个控制器类，其中包含一个用 RequestMapping 注释的方法，用于上传文件.我也跟着警告说明围绕多部分，我在安全过滤器上方添加了多部分过滤器. ..

发布时间：2021-12-25 11:21:09 spring-mvc spring-security csrf multipart servlet-3.0 其他开发

Spring Security:按客户端类型启用/禁用 CSRF(浏览器/非浏览器)

Spring 安全文档说: "什么时候使用CSRF保护?我们推荐使用CSRF保护可以由浏览器处理的任何请求普通用户.如果您只是创建一个由以下人员使用的服务非浏览器客户端，您可能希望禁用 CSRF 保护." 如果我的服务将同时被“浏览器"和“非浏览器"客户端(例如第三方外部服务)使用，Spring Security 是否提供了专门为某些类型的客户端禁用 CSRF 的方法? 解决方 ..

发布时间：2021-12-25 11:12:01 java spring spring-mvc spring-security csrf Java开发

无法验证提供的 CSRF 令牌，因为在 Spring Security 中找不到您的会话

我使用 spring security 和 java config @Overrideprotected void configure(HttpSecurity http) 抛出异常 {http.authorizeRequests().antMatchers("/api/*").hasRole("管理员").和().addFilterAfter(new CsrfTokenResponseHead ..

发布时间：2021-12-25 11:10:50 java spring-security csrf spring-restcontroller Java开发

在 Spring-Security with Java Config 中，为什么 httpBasic POST 需要 csrf 令牌?

我在 Java 配置中使用 Spring-Security 3.2.0.RC2.我设置了一个简单的 HttpSecurity 配置，要求在/v1/** 上进行基本身份验证.GET 请求有效但 POST 请求失败: HTTP 状态 403 - 在请求参数“_csrf"或标头“X-CSRF-TOKEN"上发现无效的 CSRF 令牌“null". 我的安全配置如下所示: @Configuratio ..

发布时间：2021-12-25 11:06:36 post spring-security csrf basic-authentication spring-java-config 其他开发

如何使用 Spring RESTful Web 服务处理 CSRF 保护?

我有一个启用了 CSRF 保护的 Spring Web 应用程序.我可以通过 AJAX 调用访问 RESTful 服务，但是当我使用 httpurlconnection 等其他应用程序访问该服务时，我收到 401 错误(CSRF 令牌为空). 我知道要访问 RESTful 服务，我需要在请求标头中传递一个令牌，但是如何获取 CSRF 令牌? 解决方案你可以在Spring MVC中创 ..

发布时间：2021-12-25 11:03:34 spring rest spring-mvc spring-security csrf 其他开发

在请求参数“_csrf"或标头“X-CSRF-TOKEN"中发现无效的 CSRF 令牌“null"

配置 Spring Security 3.2 后，_csrf.token 不会绑定到请求或会话对象. 这是 spring 安全配置: ..

发布时间：2021-12-25 10:56:46 spring spring-security csrf csrf-protection 其他开发

Grails 3 CSRF 保护

是否可以使用 spring-security 插件在 grails3 应用程序中配置 CSRF 保护，除了 grails 表单的 useToken 属性外，我找不到任何东西，然后在控制器内部调用 withForm.但这实际上不是一个非常灵活的解决方案.我喜欢像 here 解决方案为了保护 csrf，我重用了 org.springframework.security.web.csrf.Cs ..

发布时间：2021-12-22 20:28:36 grails spring-security csrf grails-3.0 其他开发

Grails - 是否有处理 AJAX 形式的 CSRF 攻击的推荐方法?

我正在将同步器令牌模式用于标准表单(useToken = true)，但我找不到任何推荐的通过 AJAX 处理此问题的方法. 编辑自从发布这篇文章以来，我已经推出了我自己的解决方案，结合了上面的 Grails 现有模式. 在 jQuery ajax 中，我发布了整个表单(其中将包括 Grails 注入的 SYNCHRONIZER_TOKEN 和 SYNCHRONIZER_URI ..

发布时间：2021-12-22 20:23:46 security grails csrf 其他开发

iframe 导致无法验证 CSRF 令牌真实性 n Rails

我有一个通过 iframe 加载的 web 应用程序，使用 phonegap 2.3.0 for Windows Phone 8 SDK.通过 iframe 加载它的问题是，当我发送 $.post() 请求时，它会导致 Rails 端的 Can't verify CSRF token authencity.> 我尝试了几种方法，例如覆盖 $.post() 以使用 $.ajax() 到 setHe ..

发布时间：2021-12-21 23:01:31 ruby-on-rails jquery iframe windows-phone-8 csrf 其他开发

如何在 Cakephp 3 中的 ajax 调用中定义 CSRF 令牌.此外，对于某些 ajax 请求，CSRF 是如何关闭的

在 Cakephp3 中启用 Csrf 组件时.我如何在 ajax 调用中使用它.在此 beforeSend 参数中，ajax csrf 令牌设置在标头中.csrfToken 的价值是什么.因为它给出了错误 csrfToken 未定义 beforeSend: function(xhr){xhr.setRequestHeader('X-CSRF-Token', csrfToken);}, ..

发布时间：2021-12-21 21:41:50 ajax cakephp csrf cakephp-3.x 前端开发

Cakephp 安全

我是 Web 应用安全的新手.我正在用 Cakephp 开发一个应用程序，我的一个朋友告诉我关于跨站请求伪造 (CSRF) 和跨站脚本 (XSS) 攻击等.不知道还有多少. 我需要一些帮助来理解如何让 Cakephp 保护我的网络应用程序免受这些攻击.我们的预算很低，目前我们无法聘请安全顾问.我们仍在开发该应用程序，并计划在本月底发布.所以想要处理可以帮助我不被黑客入侵的初始东西;) ..

发布时间：2021-12-21 21:22:42 security cakephp xss csrf xsl-fo 其他开发

3.6 版本发布请求中的 CSRF 令牌不匹配

我有两个不同的 cakephp 应用程序.一个是 3.5 版，另一个是 3.6 版. 当我使用和构建 3.5 应用程序时，我没有遇到 CSRF 在 post 请求中匹配的问题. 但是现在当我使用 3.6 时，它给了我 CSRF 令牌错误. 虽然在两个应用的AppController中，CSRF组件都被禁用了. //$this->loadComponent('Csrf'); ..

发布时间：2021-12-21 21:01:58 cakephp cakephp-3.0 csrf 其他开发

Cakephp 3.5.6 禁用控制器的 CSRF 中间件

我正在尝试禁用单个控制器 (API) 的 CSRF 检查，但我无法找到如何实现这一点. 3.5.0 之前的 CSRF 组件可以根据特定请求禁用: $this->eventManager()->off($this->Csrf); 解决方案有两种方法可以做到这一点. 将中间件应用于特定的路由范围(甚至路由) 根据您创建的路由，您可以将中间件仅应用于特定范围，例如: //co ..

发布时间：2021-12-21 21:01:38 cakephp cakephp-3.0 csrf middleware 其他开发

这是防止跨站点请求伪造 (CSRF) 攻击的安全方法吗?

我们的应用程序是这样的: 每个用户都必须登录登录页面回发到服务器，如果是授权用户，则返回 SPA 应用程序. SPA 应用完全是 AJAX HTTPS 通常我们会发送一个 sessionid cookie 和一个 csrftoken cookie.令牌 cookie 值将作为 x-header 包含在任何 AJAX 帖子中，以及每个请求在服务器上验证的所有内容. 由于 S ..

发布时间：2021-12-21 12:37:48 javascript ajax cookies csrf 前端开发

Spring Security 中会话 cookie 的同一站点标志

是否可以设置同站Cookie Spring Security 中的标志? 如果没有，请问是否在路线图上添加支持?某些浏览器(即 Chrome)已经支持. 解决方案新的 Tomcat 版本通过 TomcatContextCustomizer 支持 SameSite cookie.所以你应该只自定义 tomcat CookieProcessor，例如对于 Spring Boot: @ ..

发布时间：2021-12-21 12:18:59 cookies spring-security csrf jsessionid samesite 其他开发

应该<protected-views>用于 JSF 2.2 CSRF 保护?

我很困惑.我看到 JSF 2.0 具有隐式 CSRF 保护:JSF 2.0 如何防止 CSRF 另一边根据文章http://www.oracle.com/webfolder/technetwork/tutorials/obe/java/JSF-CSRF-Demo/JSF2.2CsrfDemo.html 我们应该将以下元素添加到带有 JSF 页面列表的 faces-config.xml 文件 ..

发布时间：2021-12-20 15:29:25 security jsf csrf jsf-2.2 protected-views 其他开发

JSF 中的 CSRF、XSS 和 SQL 注入攻击预防

我有一个基于 JSF 构建的 Web 应用程序，其中 MySQL 作为数据库.我已经在我的应用程序中实现了防止 CSRF 的代码. 现在由于我的底层框架是 JSF，我想我不必处理 XSS 攻击，因为它已经由 UIComponent 处理了.我没有在任何视图页面中使用任何 JavaScript.即使我使用，我真的需要实现代码来防止 XSS 攻击吗? 对于数据库，我们在所有数据库交互中使用 ..

发布时间：2021-12-20 14:41:14 jsf xss sql-injection csrf owasp 其他开发

Angular 对抗 Asp.Net WebApi，在服务器端实现 CSRF

我正在 Angular.js 中实现一个网站，该网站正在访问 ASP.NET WebAPI 后端. Angular.js 有一些内置功能来帮助进行反 csrf 保护.在每个 http 请求中，它会查找名为“XSRF-TOKEN"的 cookie 并将其作为名为“X-XSRF-TOKEN"的标头提交. 这依赖于网络服务器能够在对用户进行身份验证后设置 XSRF-TOKEN cookie， ..

发布时间：2021-12-20 13:16:51 javascript asp.net angularjs asp.net-web-api csrf C#/.NET

csrf相关内容