csrf 第6页 - IT屋-程序员软件开发技术分享社区

在不需要用户登录的 POST 表单中，我是否面临 CSRF 攻击的风险?

我在这里可能完全是个菜鸟，但我仍然不确定 CSRF(跨站点请求伪造)攻击究竟是什么.那么让我们来看看三种情况... 1) 我有一个 POST 表单，用于编辑我网站上的数据.我希望这些数据仅被登录的用户编辑. 2) 我有一个站点，登录的用户和访客都可以使用它.网站的部分内容仅供登录用户使用，但也有可供所有用户使用的 POST 表单 - 匿名而非匿名(例如标准联系表单).是否应该保护联系表 ..

发布时间：2021-12-13 10:01:27 security csrf 其他开发

CSRF 保护:我们是否必须为每个表单生成一个令牌?

我们是否必须为网站中的每个表单生成一个令牌?我的意思是，每次都为每个请求的表单生成不同的令牌?如果没有，为什么? 解决方案一般来说，只需每个会话一个令牌，所谓的每会话令牌: 一般来说，开发者只需要为当前会话生成一次这个令牌.初始生成此令牌后，该值将存储在会话中，并用于每个后续请求，直到会话过期. 如果您想进一步增强安全性，您可以为每个表单/URL 使用一个令牌(每个表单令牌 ..

发布时间：2021-12-13 09:52:49 security csrf 其他开发

我正在尝试了解 CSRF 的整个问题以及防止它出现的适当方法.(我已阅读、理解并同意的资源:OWASP CSRF 预防作弊表格，关于CSRF的问题.) 据我所知，CSRF 的漏洞是由以下假设引入的:(从网络服务器的角度来看)传入 HTTP 请求中的有效会话 cookie 反映了经过身份验证的用户的意愿.但是原始域的所有 cookie 都被浏览器神奇地附加到请求中，因此实际上所有服务器都可以从 ..

发布时间：2021-12-13 09:23:18 security cookies web csrf owasp 其他开发

如何使用 PHP 正确添加跨站点请求伪造 (CSRF) 令牌

我正在尝试为我网站上的表单添加一些安全性.其中一个表单使用 AJAX，另一个是简单的“联系我们"表单.我正在尝试添加 CSRF 令牌.我遇到的问题是令牌仅在某些时候出现在 HTML“值"中.其余时间，该值为空.这是我在 AJAX 表单上使用的代码: PHP: if (!isset($_SESSION)) {session_start();$_SESSION['formStarted'] = ..

发布时间：2021-12-13 09:14:29 php security session csrf PHP

Rails - 如何向用 javascript 创建的表单添加 CSRF 保护?

我正在使用backbone.js，效果很好.但是我作为 javascript 模板创建的表单缺少 rails csrf 保护令牌.如何将其添加到我在 javascript 中创建的模板中? 解决方案如果您的布局中有并且您可以从 js 访问它，那么您可以使用 $('meta[name="csrf-token"]') 访问它参见 http:/ ..

发布时间：2021-12-12 11:11:23 javascript ruby-on-rails ruby-on-rails-3 backbone.js csrf 前端开发

rails - “警告:无法验证 CSRF 令牌的真实性"；用于 json 设计请求

如何检索 CSRF 令牌以通过 JSON 请求传递? 我知道出于安全原因Rails 正在检查所有请求类型(包括 JSON/XML)上的 CSRF 令牌. 我可以放入我的控制器 skip_before_filter :verify_authenticity_token，但我会失去 CRSF 保护(不建议:-)). 这个类似的(仍然不被接受)answer建议使用检索令 ..

发布时间：2021-12-12 10:54:31 ruby-on-rails-3 ruby-on-rails-3.1 devise csrf 其他开发

在 rails 3 中关闭 CSRF 令牌

我有一个 Rails 应用程序，可以为 iPhone 应用程序提供一些 API.我希望能够简单地在资源上发布而不关心获得正确的 CSRF 令牌.我尝试了一些我在 stackoverflow 中看到的方法，但它们似乎不再适用于 rails 3. 谢谢你帮助我. 解决方案在要禁用 CSRF 的控制器中进行检查: skip_before_action :verify_authentic ..

发布时间：2021-12-12 10:52:50 ruby-on-rails-3 csrf 其他开发

CodeIgniter 仅在某些页面中使用 CSRF 保护

我想要做的是保护一些敏感表单免受 codeigniter 中的 CSRF 攻击，但不是所有页面. 为了防止 CSRF 如果我在 config.php 中设置它，它适用于所有页面.有没有办法通过在控制器中设置来仅对某些页面执行此操作? $config['csrf_protection'] = TRUE; 解决方案您可以通过编辑 config.php 文件来做到这一点 $config ..

发布时间：2021-12-10 14:21:16 codeigniter codeigniter-2 csrf 其他开发

Codeigniter CSRF仅对一次ajax请求有效

我想在 jQuery 的更改事件时在服务器上上传图像，但使用 codeigniter csrf 我只能上传图像一次.如何使用ajax为多个请求上传图片.设置时请记住 config['csrf_protection'] = FALSE; 然后我可以发送多个请求 jQuery onchange 事件，但是当 csrf_protection 为 false 时，我认为 csrf 没有优势.所以问题是 ..

发布时间：2021-12-10 13:31:23 php jquery ajax codeigniter csrf PHP

codeigniter CSRF 错误:“不允许您请求的操作."

我在 codeigniter 的配置文件中启用了 csrf_protection 选项，并使用 form_open() 函数来创建我的表单.但是当我提交表单时，出现这个错误: 您请求的操作不被允许. 我已经完成了类似这个主题的答案(与我的问题最相关):问题但他们没有工作，问题仍然存在. 我的 config.php: ..

发布时间：2021-12-10 13:17:19 codeigniter runtime-error csrf 其他开发

在ajax提交上禁用symfony 2 csrf令牌保护

我正在构建一个移动应用程序，通过网络服务与我的 symfony2 应用程序对话我找不到在特定控制器/操作上禁用 csrf 保护的方法我想将注册数据发布到此操作并使用 sf2 表单验证.我不会在我的移动应用中调用表单不能在action中改变容器参数，抛出异常，因为它是一个冻结参数... 我不想为整个应用程序禁用表单保护有什么线索吗? 谢谢！更新:使用 sy ..

发布时间：2021-12-10 11:40:21 ajax symfony csrf 前端开发

symfony2 CSRF 无效

好的，所以今天我用来自我们“实时"数据库的新信息更新了我的数据库......从那时起我的一个表格就出现了问题.如果您需要任何代码，请告诉我，我会编辑它并发布所需的代码... 我有一个报告表单，其中包含一个日期范围字段和一个代理部门的下拉列表.当我第一次访问该页面时，我会在表单的开头看到: CSRF 令牌无效.请尝试重新提交表单因此，我转到具有相同类型信息的其他表单之一，并检查 ..

发布时间：2021-12-10 11:38:54 symfony csrf 其他开发

Symfony CSRF 和 Ajax

我正在尝试在我的 Symfony 2 项目中实现一些 ajax 功能.使用 jquery 的 $.post 我想将一些数据发送回我的控制器.然而，当我只是发布数据时，没有 CSRF 保护到位，因为 symfony 的 csrf 保护似乎只适用于表单. 实现这一点的非常简单的方法是什么? 使用表单时，我只需执行 $form->isValid() 即可确定 CSRF 令牌是否通过.我目前正 ..

发布时间：2021-12-10 11:12:47 ajax symfony csrf 前端开发

CSRF 状态令牌与提供的 FB PHP SDK 3.1.1 Oauth 2.0 不匹配

我的服务器日志显示“CSRF 状态令牌与提供的令牌不匹配"错误，这似乎几乎发生在每个用户身上.但是，用户已创建和/或经过身份验证，我能够检索用户信息.我正在使用带有 Apache 的 Linux 服务器.我也在使用最新的 Facebook PHP SDK v.3.1.1 谁能告诉我为什么会发生这种情况以及如何解决它? 解决方案上周我遇到了类似的问题，并追踪到 state 字段被多次调用 ..

发布时间：2021-12-09 09:06:53 facebook facebook-graph-api facebook-php-sdk oauth-2.0 csrf 其他开发

如何使用分离的 vue 前端检索 Laravel CSRF 令牌

鉴于 Laravel 后端和 Vue 前端彼此分开(在不同的目录和不同的子域中)，有没有办法将 Laravel csrf 令牌传递给 Vue?? 我正在构建一个应用程序，并希望将后端和前端分开以用于组织目的，因为它有利于团队合作.所以，它会是这样的: api.mydomainexample.com(Laravel 后端) mydomainexample.com(公共 Vue 前端) ..

发布时间：2021-12-08 21:45:52 laravel vue.js csrf 前端开发

Cookie CsrfTokenRepository.withHttpOnlyFalse() 有什么作用以及何时使用它?

我现在正在尝试学习 Spring Security，并且我已经看到许多使用它的不同示例.我知道 CSRF 是什么，并且 Spring Security 默认启用它.我很想知道的是这种定制. .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()).和().authorizeRequests(请求 -> ..

发布时间：2021-12-06 17:51:40 java spring spring-boot spring-security csrf Java开发

在 Laravel 中发布请求 - 错误 - 419 抱歉，您的会话/419 您的页面已过期

我安装了 Laravel 5.7 在文件中添加了一个表单\resources\views\welcome.blade.php 添加到文件 \routes\web.php Route::post('/foo', function () {回声 1;返回;}); 发送 POST 请求后: 419 抱歉，您的会话已过期.请刷新并重试. 5.6 版本没有这个问题. 解决 ..

发布时间：2021-12-03 18:16:56 php laravel csrf PHP

“由于不活动，页面已过期"- Laravel 5.5

我的注册页面正确显示了表单，并且表单中存在 CsrfToken ({{ csrf_field() }}). 表单 HTML {{ csrf_field() }}.... 我正在为用户使用内置身份验证.除了路由和重定向之外没有改变任何东西. 当我提交表单时(刚刚重新加载后)，它显示由于不活动，页面已过期.请刷新并重试.错误. 我是我错过了一件很小的事情.但不确定它 ..

发布时间：2021-12-03 18:16:05 php laravel csrf laravel-5.5 PHP

Spring CSRF 令牌不起作用，当要发送的请求是多部分请求时

我用， Spring Framework 4.0.0 发布(正式版) Spring Security 3.2.0 发布(正式版) Struts 2.3.16 其中，我使用内置的安全令牌来防范 CSRF 攻击. Struts 表单如下所示. ..

发布时间：2021-12-03 17:56:14 spring struts2 spring-security csrf csrf-protection 其他开发

Spring Security 3.2 CSRF 支持多部分请求

几年来，我们一直在我们的应用程序中使用 Spring Security.上周我们将 Spring Security 从版本 3.1.4 升级到 3.2.0.升级很顺利，升级后我们没有发现任何错误. 在查看 Spring Security 3.2.0 文档时，我们发现了围绕 CSRF 保护和安全标头的新增功能.我们按照 Spring Security 3.2.0 文档中的说明为我们的受保护资源 ..

发布时间：2021-12-03 17:53:09 spring spring-mvc spring-security csrf 其他开发

csrf相关内容