csrf 第5页 - IT屋-程序员软件开发技术分享社区

设计用户登录为 CSRF 令牌真实性令牌提供身份验证错误

我正在使用 devise(最新版本 - 3.2.0)和 rails(最新版本 - 4.0.1) 我正在做简单的身份验证(没有 ajax 或 api)并且收到 CSRF 真实性令牌的错误.检查下面的 POST 请求在 2013-11-08 19:48:49 +0530 开始 POST "/users/sign_in" for 127.0.0.1由 Devise::SessionsContr ..

发布时间：2021-12-19 20:08:15 ruby-on-rails ruby-on-rails-4 devise csrf rails-api 其他开发

使用同站 cookie 属性防止 CSRF

我在网上冲浪时发现了文章防止带有同站cookie属性的CSRF. 在链接维护上我们需要添加 Set-Cookie 头. 设置-Cookie:键=值；HttpOnly;SameSite=strict 现在我的问题是，我想在我的 ASP.NET 站点中的所有 Cookie 和身份验证 Cookie 中设置它.我尝试使用来自 IIS 的标头来设置它，但有人说这是错误的实现方式. ..

发布时间：2021-12-19 15:41:52 asp.net iis cookies csrf C#/.NET

在 VerifyCsrfToken.php 第 68 行中的 Laravel 5.4 TokenMismatchException

当我第一次登录时，它运行良好，但是当我从我的应用程序注销并尝试重新登录时，我收到此错误. 我尝试了几乎所有可用的解决方案，但无法解决问题.任何解决此错误的解决方案? 这就是我执行登录和注销的方式(如果代码错误，请纠正我，因为我是 Laravel 新手). 我试过 laravel-caffeine 和 {{ csrf_token() }}. 我认为这是一些与会话相关的问题. ..

发布时间：2021-12-18 22:17:44 laravel csrf laravel-5.4 其他开发

Laravel 5.1 中 VerifyCsrfToken.php 第 53 行中的 TokenMismatchException

当我尝试登录时显示令牌错误.我在视图中检查了令牌是正确的，当评论 \App\Http\Middleware\VerifyCsrfToken::class 时，在 Kernel.php 它让我登录，但重定向到我的仪表板后我没有登录.我在 mac 上使用 MAMP. 登录 {！！Form::open(['url'=>'user/login','class' =>'']) ..

发布时间：2021-12-18 21:58:04 php session laravel-5 session-cookies csrf PHP

X-XSRF-TOKEN 和 X-CSRF-TOKEN 有什么区别?

何时使用隐藏字段，何时使用标题以及为什么? X-XSRF_TOKEN 什么时候使用? X-CSRF TOKEN我们什么时候使用? 解决方案所有这些都是为了跨站点请求伪造保护，并且您只需要使用其中一个即可向后端发送请求.不同的名称来自不同的框架. 这一切都是关于向后端发送一个 csrf 值.然后后端会将其与该特定用户的数据库中存储的 csrf 值进行比较，如果匹配，则允许处理请求 ..

发布时间：2021-12-18 21:46:54 php security laravel-5.2 csrf PHP

如何在 Dropzone 上传请求的标头中包含 CSRF 令牌?

我正在开发一个单页应用程序，我正在将 Laravel 5 用于 Web 服务. 所有表单都是异步提交的，我对它们使用 beforeSend 来附加我从元标记中获取的 CSRF 令牌，如下所示: $.ajax({url: '/whatever/route',类型:'POST'，数据类型:'JSON'，数据:$('form#whatever-form').serialize(),beforeS ..

发布时间：2021-12-18 21:46:14 javascript laravel-5 csrf dropzone.js 前端开发

在 Laravel 5 中，如何禁用特定路由的 VerifycsrfToken 中间件?

我正在使用 Laravel 5 开发应用程序.我的应用程序与 VendHQ API 连接，我打算通过他们的 webhook 从 VendHQ 获取一些数据.根据他们的文档当一个事件发生并触发一个 webhook 时，我们将发送一个 POST请求到您选择的 URL.POST 请求将在UTF-8 字符集和 application/x-www-form-urlencoded 编码. 问题是 ..

发布时间：2021-12-18 21:39:42 php laravel laravel-5 csrf PHP

RequestVerificationToken 不匹配

我对反 CRSF MVC 机制有疑问.cookie 和返回的表单输入不匹配.我每次都遇到错误，仅在一个特定页面中.在应用程序的其余部分，它运行良好. 服务器正在返回HTTP 500 Internal Server Error，我可以在日志中看到这个异常: [System.Web.Mvc.HttpAntiForgeryException]: {"需要防伪令牌未提供或无效."} 这是 ..

发布时间：2021-12-18 17:19:09 asp.net-mvc asp.net-mvc-3 security csrf antiforgerytoken 其他开发

在HTTP GET中使用MVC3的AntiForgeryToken避免Javascript CSRF漏洞

关于这个被黑客入侵的博客，我很犹豫要不要实施提议自以来的反 JSON GET 劫持解决方案缓解 JSON 劫持的推荐解决方案涉及非 REST-full JSON POST 以获取数据替代解决方案(对象包装)导致我无法访问源代码的第 3 方控件出现问题. 我找不到一个经过社区审查的实施方案，该实施方案实施了关于如何编写安全令牌或在网页内安全交付的替代解决方案(如下所列).我 ..

发布时间：2021-12-18 17:02:05 json asp.net-mvc-3 csrf antiforgerytoken 其他开发

我需要 jQuery .ajax() 的 CSRF 令牌吗?

所以我有一个基本的 .ajax() POST 方法到 PHP 文件. 我需要什么安全措施? 周围的一些帖子提到使用您通过 AJAX 发送并在 PHP 文件中验证的隐藏 MD5 输入字段.这是一个足够好的方法吗? 解决方案 CSRF 的风险在于外部站点可能会将数据发送到您的站点，而用户浏览器会自动将身份验证 cookie 与它一起发送. 您需要的是接收操作(您的 $.aja ..

发布时间：2021-12-18 15:08:04 jquery ajax security post csrf 前端开发

Laravel 捕获 TokenMismatchException

可以使用 try catch 块捕获 TokenMismatchException 吗?我希望它显示实际页面并仅显示错误消息，而不是显示显示“VerifyCsrfToken.php 第 46 行中的 TokenMismatchException..."的调试页面. 我对 CSRF 没有任何问题，我只是希望它仍然显示页面而不是调试页面. 复制(使用火狐):步骤: 打开页面(http ..

发布时间：2021-12-17 17:20:48 php laravel exception-handling csrf laravel-5 PHP

如何在 Django、csrf 令牌和 POST 请求中使用 curl

我正在使用 curl 来测试我的一种 Django 表单.我尝试过的调用(每个调用都有错误，并且为了可读性而在多行中): (1): 卷曲-d "{\"email\":\"test@test.com\"}"--header "X-CSRFToken: [我已经从我的 Django 应用程序加载的页面源代码中的三重检查值]"--cookie "csrftoken=[与上述相同的 csrf 值] ..

发布时间：2021-12-17 09:32:47 django curl django-forms csrf django-csrf 其他开发

单页应用程序和 CSRF 令牌

我需要使用具有 Rails CSRF 保护机制的单页应用程序(React、Ember、Angular，我不在乎). 我想知道是否需要像这样在 ApplicationController 中创建一个令牌: class ApplicationController 或者我可以只创建一次令牌. 每个会话还是每个(非 GET)请求? 我认为令牌在会话有效之前仍然有效，对吗? 澄 ..

发布时间：2021-12-15 21:03:26 javascript ruby-on-rails reactjs session csrf 前端开发

wtforms、CSRF、烧瓶、FieldList

在将 FieldList 与 WTForms 一起使用时，我无法通过验证.我不断收到此错误.{'csrf_token': [u'CSRF 令牌丢失']}.问题是如果我在 FieldList 字段中没有任何要验证的数据，则验证通过并且没有问题.但是当我尝试使用任何数据验证表单时，我收到该错误. 这是我的表格: class FilterForm(wtf.Form):filter_value = ..

发布时间：2021-12-14 11:19:50 flask csrf flask-wtforms 其他开发

如何:使用 Flask 在 WTForms 中动态生成 CSRF-Token

我有一个水果表单，其中有一个用于香蕉的 FieldList 对象: bananas = FieldList(FormField(BananaForm)) 在前端，最初，我将这些字段之一添加到 FieldList form.append_entry() 现在使用 Javascript 我设法创建函数，可以动态添加(加号按钮)或删除(减号按钮)可以填充信息的 BananaForm 字段的数量. ..

发布时间：2021-12-14 11:13:21 javascript validation flask csrf wtforms 前端开发

Forbidden (403) CSRF 验证失败.请求中止.即使使用 {% csrf_token %}

登录到 Web 应用程序 {% if form.errors %} Lo sentimos, la combinacion de usuario y contrasena no es Correcta！ {％万一％} ..

发布时间：2021-12-13 14:11:06 python django login csrf Python

使用无状态(= 无会话)身份验证时是否需要 CSRF 令牌?

当应用程序依赖于无状态身份验证(使用 HMAC 之类的东西)时，是否需要使用 CSRF 保护? 示例: 我们有一个单页应用程序(否则我们必须在每个链接上附加令牌:.... 用户使用 POST/auth 验证自己.成功验证后，服务器将返回一些令牌. 令牌将通过 JavaScript 存储在单页应用程序内的某个变量中. ..

发布时间：2021-12-13 13:58:50 authentication csrf single-page-application stateless csrf-protection 其他开发

理解CSRF

我不明白使用“挑战令牌"会如何增加任何形式的预防:应该将什么值与什么进行比较? 来自 OWASP:> 一般来说，开发者只需要为当前会话.初始后这个令牌的生成，价值是存储在会话中并被利用对于每个后续请求，直到会话过期. 如果我正确理解了这个过程，就会发生这种情况. 我登录 http://example.com 并创建了一个包含此随机令牌的会话/cookie.然后，每个表单都包含一 ..

发布时间：2021-12-13 10:07:51 security session csrf 其他开发

JSON Web 服务是否容易受到 CSRF 攻击?

我正在构建一个专门使用 JSON 来处理其请求和响应内容的网络服务(即，没有表单编码的有效负载). 如果以下情况属实，Web 服务是否容易受到 CSRF 攻击? 任何没有顶级 JSON 对象的 POST 请求，例如 {"foo":"bar"}，都将被拒绝并返回 400.例如，内容为 42 的 POST 请求将因此被拒绝. 任何内容类型不是 application/json 的 P ..

发布时间：2021-12-13 10:05:08 http security csrf 其他开发

使用 CORS Origin 标头与 CSRF 令牌的 CSRF 保护

这个问题仅是关于防止跨站点请求伪造攻击. 具体是关于:通过 Origin 标头 (CORS) 进行的保护是否与通过 CSRF 令牌进行的保护一样好? 示例: Alice 使用她的浏览器登录(使用 cookie)到“https://example.com".我假设她使用的是现代浏览器. Alice 访问“https://evil.com"，evil.com 的客户端代码执行某种请 ..

发布时间：2021-12-13 10:03:20 javascript security cors csrf 前端开发

csrf相关内容