csrf相关内容
我在 spring 框架中有 csrf 保护.因此,在每个请求中,我都会在 ajax 调用的标头中发送 csrf 令牌,这非常有效. var token = $("meta[name='_csrf']").attr("content");var header = $("meta[na
..
我知道有关于 Django Rest Framework 的答案,但我找不到解决我的问题的方法. 我有一个具有身份验证和一些功能的应用程序.我向它添加了一个新应用程序,它使用 Django Rest Framework.我只想在这个应用程序中使用这个库.我也想发出 POST 请求,我总是收到这个响应: {"detail": "CSRF 失败:CSRF 令牌丢失或不正确."} 我有以下代码
..
我可以通过我的 AJAX 帖子使用一些帮助来遵守 Django 的 CSRF 保护机制.我已按照此处的说明进行操作: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ 我已经完全复制了他们在该页面上的 AJAX 示例代码: http://docs.djangoproject.com/en/dev/ref/contrib/
..
我正在使用 Rails 做一个单页应用程序.登录和退出时,使用 ajax 调用设计控制器.我遇到的问题是,当我 1) 登录 2) 退出然后再次登录时不起作用. 我认为这与我退出时重置的 CSRF 令牌有关(尽管它不应该是单页),并且由于它是单页,旧的 CSRF 令牌是在 xhr 请求中发送的,因此重置了会话. 更具体地说,这是工作流程: 登录 退出 登录(成功 201.但是在
..
我正在使用 AJAX 将数据从视图发送到控制器,但出现此错误: 警告:无法验证 CSRF 令牌的真实性 我想我必须将此令牌与数据一起发送. 有人知道我该怎么做吗? 编辑:我的解决方案 我通过将以下代码放入 AJAX 帖子中来做到这一点: 标题:{'X-Transaction': 'POST 示例','X-CSRF-Token': $('meta[name="csrf
..
我知道基于 cookie 的身份验证.SSL 和 HttpOnly 标志可用于保护基于 cookie 的身份验证免受 MITM 和 XSS.但是,需要采取更多特殊措施来保护它免受 CSRF 的影响.它们只是有点复杂.(参考) 最近,我发现 JSON Web Token (JWT) 作为身份验证解决方案非常流行.我了解有关编码、解码和验证 JWT 的知识.但是,我不明白为什么有些网站/教程说如
..
我读到使用 JWT 时,无需防范 CSRF 攻击,例如:"因为您不依赖 cookie,所以您不需要防止跨站点请求". 但是,有些我不明白:如果我将令牌存储在 localStorage 中(正如我被告知的那样同一个网站的教程),是什么防止攻击者通过读取我的 localStorage 而不是我的 cookie 来伪造恶意请求? 由于它是在服务器端生成的,我不知道如何将令牌用于客户端请求而不
..
我在使用 ajax 时遇到了 AntiForgeryToken 的问题.我正在使用 ASP.NET MVC 3.我在 jQuery Ajax 调用中尝试了解决方案和 Html.AntiForgeryToken().使用该解决方案,现在正在传递令牌: var data = { ... }//带令牌,key 是 '__RequestVerificationToken'$.ajax({类型:“POST
..
我在我的应用程序中实施了缓解CSRF攻击的措施,遵循以下信息我在互联网上阅读了一些博客文章.特别是这些帖子一直是我实现的驱动力 ASP.NET MVC 最佳实践,来自 ASP.NET 和 Web 工具开发人员内容团队 剖析跨站请求伪造攻击来自 Phil Haack 博客 ASP.NET MVC 框架中的 AntiForgeryToken - Html.AntiForgeryToken 和
..
我有一个 nginx 服务器,提供纯 HTML 和 JS 文件. js 代码然后调用各种 REST API 来从 API 服务器获取/发布数据. 如果 nginx 收到对/api/location 的请求,它会将请求转发到另一个处理所有 API 的服务器.这个 api 服务器是用 Ruby on Rails 构建的. 由于我所有的纯 HTML 页面都是由 nginx 直接交付的,
..
我有一个为 SPA 构建的 JSON API,它只接受带有“Accept: application/json"标头的请求.所以在浏览器中提交以下表单会导致“Not Acceptable".HTTP 错误. 这是否
..
我想知道使用客户端指纹作为 JWT-secret 进行编码是否是最佳实践.但是,我在 WWW 中找不到关于这个问题的任何内容,但到目前为止,我这样做是有意义的. 我正在考虑使用 JavaScript 生成指纹客户端,并在每次调用时将其发送到 API.然后,API 应将指纹与硬编码的秘密一起用于对令牌进行编码和解码. 这不是防止CSRF的好方法吗?还是我错过了其他东西?或者一般来说:使用
..
我想从我的 Express 3.0 应用程序中删除 csrf,因为我不需要它.我使用 oauth 来验证客户端.使用 express.csrf() 时是否是将 API url 列入白名单的中间件? 解决方案 您可以通过两种方式做到这一点. 1.) 创建一个自己的小型中间件,允许白名单 url 模式不被 csrf 之类的阻止; var express = require("expre
..
从我的本地主机向远程 django api 执行 POST 请求时,我收到 CSRF 令牌丢失或不正确的错误. 我在 AngularJS 上的设置: .config(['$httpProvider', function($httpProvider){$httpProvider.defaults.xsrfCookieName = 'csrftoken';$httpProvider.defau
..
我一直在使用 API 实现 Rails 4 应用程序.我希望能够从手机和 webapp 本身调用 API.我在研究 protect_from_forgery 时遇到了这篇笔记: 请务必记住,XML 或 JSON 请求也会受到影响,如果您正在构建 API,您将需要以下内容: class ApplicationController 我正考虑这样做,但我有一些保留意见/问题: 这个解决
..
我一直在开发带有 REST API 的 Rails 应用程序,以便从移动应用程序访问. 效果很好.当用户从移动应用程序登录时,他会获得 auth_token,他将在未来对 API 的请求中使用该令牌.问题是 API 也可以通过路径/api/v1/... 从网络访问,因此,必须保护它免受 CSRF 的影响. 我有从 ApplicationController 继承的 BaseApiCon
..
我尝试与我使用 Laravel 构建的 REST API 对话.但是由于令牌不匹配,与 POSTMAN 的调用被拒绝.我想我需要在标头中包含 CSRF 令牌.但是我需要加密的吗?当我插入这个令牌时,我仍然收到令牌不匹配的错误. 我使用以下方法检索我的令牌: $encrypter = app('Illuminate\Encryption\Encrypter');$encrypted_toke
..
我有一个 Django Web 应用程序,它具有前端、可通过 Web 访问的组件和可由桌面客户端访问的 API.但是,现在使用新的 CSRF 中间件组件,来自桌面客户端的 API 请求通过 POST 得到 403. 我理解为什么会发生这种情况,但是在不影响安全性的情况下解决此问题的正确方法是什么?有什么办法可以在 HTTP 标头中表明这是一个 API 请求并且 Django 不应该检查 CS
..
我现在正在使用 Ruby on Rails 开发 Web API.当 Rails 应用收到没有任何 csrf 令牌的 POST 请求时,将出现以下错误消息.因为该应用没有视图. 警告:无法验证 CSRF 令牌的真实性 所以我的问题是在这种情况下如何安全地逃避 csrf 令牌检查? 非常感谢您. 解决方案 你可以通过添加 skip_before_filter :verify_au
..
早在 2011 年 2 月,Rails 就改为要求所有非 GET 请求的 CSRF 令牌,包括 API 端点的请求.我理解为什么这是浏览器请求的重要更改的解释,但该博文并未就 API 应如何处理更改提供任何建议. 我对为某些操作禁用 CSRF 保护不感兴趣. API 应该如何应对这种变化?是否期望 API 客户端向 API 发出 GET 请求以获取 CSRF 令牌,然后在该会话期间的每
..