csrf相关内容
我在这里可能完全是个菜鸟,但我仍然不确定 CSRF(跨站点请求伪造)攻击究竟是什么.那么让我们来看看三种情况... 1) 我有一个 POST 表单,用于编辑我网站上的数据.我希望这些数据仅被登录的用户编辑. 2) 我有一个站点,登录的用户和访客都可以使用它.网站的部分内容仅供登录用户使用,但也有可供所有用户使用的 POST 表单 - 匿名而非匿名(例如标准联系表单).是否应该保护联系表
..
我们是否必须为网站中的每个表单生成一个令牌?我的意思是,每次都为每个请求的表单生成不同的令牌?如果没有,为什么? 解决方案 一般来说,只需 每个会话一个令牌,所谓的每会话令牌: 一般来说,开发者只需要为当前会话生成一次这个令牌.初始生成此令牌后,该值将存储在会话中,并用于每个后续请求,直到会话过期. 如果您想进一步增强安全性,您可以为每个表单/URL 使用一个令牌(每个表单令牌
..
我正在尝试了解 CSRF 的整个问题以及防止它出现的适当方法.(我已阅读、理解并同意的资源:OWASP CSRF 预防作弊表格,关于CSRF的问题.) 据我所知,CSRF 的漏洞是由以下假设引入的:(从网络服务器的角度来看)传入 HTTP 请求中的有效会话 cookie 反映了经过身份验证的用户的意愿.但是原始域的所有 cookie 都被浏览器神奇地附加到请求中,因此实际上所有服务器都可以从
..
我正在尝试为我网站上的表单添加一些安全性.其中一个表单使用 AJAX,另一个是简单的“联系我们"表单.我正在尝试添加 CSRF 令牌.我遇到的问题是令牌仅在某些时候出现在 HTML“值"中.其余时间,该值为空.这是我在 AJAX 表单上使用的代码: PHP: if (!isset($_SESSION)) {session_start();$_SESSION['formStarted'] =
..
我正在使用backbone.js,效果很好.但是我作为 javascript 模板创建的表单缺少 rails csrf 保护令牌.如何将其添加到我在 javascript 中创建的模板中? 解决方案 如果您的布局中有 并且您可以从 js 访问它,那么您可以使用 $('meta[name="csrf-token"]') 访问它 参见 http:/
..
如何检索 CSRF 令牌以通过 JSON 请求传递? 我知道出于安全原因Rails 正在检查所有请求类型(包括 JSON/XML)上的 CSRF 令牌. 我可以放入我的控制器 skip_before_filter :verify_authenticity_token,但我会失去 CRSF 保护(不建议:-)). 这个类似的(仍然不被接受)answer建议 使用 检索令
..
我有一个 Rails 应用程序,可以为 iPhone 应用程序提供一些 API.我希望能够简单地在资源上发布而不关心获得正确的 CSRF 令牌.我尝试了一些我在 stackoverflow 中看到的方法,但它们似乎不再适用于 rails 3. 谢谢你帮助我. 解决方案 在要禁用 CSRF 的控制器中进行检查: skip_before_action :verify_authentic
..
我想要做的是保护一些敏感表单免受 codeigniter 中的 CSRF 攻击,但不是所有页面. 为了防止 CSRF 如果我在 config.php 中设置它,它适用于所有页面.有没有办法通过在控制器中设置来仅对某些页面执行此操作? $config['csrf_protection'] = TRUE; 解决方案 您可以通过编辑 config.php 文件来做到这一点 $config
..
我想在 jQuery 的更改事件时在服务器上上传图像,但使用 codeigniter csrf 我只能上传图像一次.如何使用ajax为多个请求上传图片.设置时请记住 config['csrf_protection'] = FALSE; 然后我可以发送多个请求 jQuery onchange 事件,但是当 csrf_protection 为 false 时,我认为 csrf 没有优势.所以问题是
..
我在 codeigniter 的配置文件中启用了 csrf_protection 选项,并使用 form_open() 函数来创建我的表单.但是当我提交表单时,出现这个错误: 您请求的操作不被允许. 我已经完成了类似这个主题的答案(与我的问题最相关):问题 但他们没有工作,问题仍然存在. 我的 config.php:
..
我正在构建一个移动应用程序,通过网络服务与我的 symfony2 应用程序对话我找不到在特定控制器/操作上禁用 csrf 保护的方法 我想将注册数据发布到此操作并使用 sf2 表单验证.我不会在我的移动应用中调用表单 不能在action中改变容器参数,抛出异常,因为它是一个冻结参数... 我不想为整个应用程序禁用表单保护 有什么线索吗? 谢谢! 更新:使用 sy
..
好的,所以今天我用来自我们“实时"数据库的新信息更新了我的数据库......从那时起我的一个表格就出现了问题.如果您需要任何代码,请告诉我,我会编辑它并发布所需的代码... 我有一个报告表单,其中包含一个日期范围字段和一个代理部门的下拉列表.当我第一次访问该页面时,我会在表单的开头看到: CSRF 令牌无效.请尝试重新提交表单 因此,我转到具有相同类型信息的其他表单之一,并检查
..
我正在尝试在我的 Symfony 2 项目中实现一些 ajax 功能.使用 jquery 的 $.post 我想将一些数据发送回我的控制器.然而,当我只是发布数据时,没有 CSRF 保护到位,因为 symfony 的 csrf 保护似乎只适用于表单. 实现这一点的非常简单的方法是什么? 使用表单时,我只需执行 $form->isValid() 即可确定 CSRF 令牌是否通过.我目前正
..
我的服务器日志显示“CSRF 状态令牌与提供的令牌不匹配"错误,这似乎几乎发生在每个用户身上.但是,用户已创建和/或经过身份验证,我能够检索用户信息.我正在使用带有 Apache 的 Linux 服务器.我也在使用最新的 Facebook PHP SDK v.3.1.1 谁能告诉我为什么会发生这种情况以及如何解决它? 解决方案 上周我遇到了类似的问题,并追踪到 state 字段被多次调用
..
鉴于 Laravel 后端和 Vue 前端彼此分开(在不同的目录和不同的子域中),有没有办法将 Laravel csrf 令牌传递给 Vue?? 我正在构建一个应用程序,并希望将后端和前端分开以用于组织目的,因为它有利于团队合作.所以,它会是这样的: api.mydomainexample.com(Laravel 后端) mydomainexample.com(公共 Vue 前端)
..
我现在正在尝试学习 Spring Security,并且我已经看到许多使用它的不同示例.我知道 CSRF 是什么,并且 Spring Security 默认启用它.我很想知道的是这种定制. .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()).和().authorizeRequests(请求 ->
..
我安装了 Laravel 5.7 在文件中添加了一个表单\resources\views\welcome.blade.php 添加到文件 \routes\web.php Route::post('/foo', function () {回声 1;返回;}); 发送 POST 请求后: 419 抱歉,您的会话已过期.请刷新并重试. 5.6 版本没有这个问题. 解决
..
我的注册页面正确显示了表单,并且表单中存在 CsrfToken ({{ csrf_field() }}). 表单 HTML {{ csrf_field() }}.... 我正在为用户使用内置身份验证.除了路由和重定向之外没有改变任何东西. 当我提交表单时(刚刚重新加载后),它显示 由于不活动,页面已过期.请刷新并重试.错误. 我是我错过了一件很小的事情.但不确定它
..
我用, Spring Framework 4.0.0 发布(正式版) Spring Security 3.2.0 发布(正式版) Struts 2.3.16 其中,我使用内置的安全令牌来防范 CSRF 攻击. Struts 表单如下所示.
..
几年来,我们一直在我们的应用程序中使用 Spring Security.上周我们将 Spring Security 从版本 3.1.4 升级到 3.2.0.升级很顺利,升级后我们没有发现任何错误. 在查看 Spring Security 3.2.0 文档时,我们发现了围绕 CSRF 保护和安全标头的新增功能.我们按照 Spring Security 3.2.0 文档中的说明为我们的受保护资源
..