Câu hỏi được gắn thẻ «csrf»

Tôi đang viết một ứng dụng (Django, nó rất hay xảy ra) và tôi chỉ muốn biết ý tưởng thực sự của "mã thông báo CSRF" là gì và cách nó bảo vệ dữ liệu. Dữ liệu bài đăng có an toàn không nếu bạn không sử dụng mã thông …

629 csrf 

Tôi đang cố gắng hiểu toàn bộ vấn đề với CSRF và các cách thích hợp để ngăn chặn vấn đề này. (Tài nguyên tôi đã đọc, hiểu và đồng ý với: Bảng kiểm tra phòng chống CSRF của OWASP , Câu hỏi về CSRF .) Theo tôi hiểu, lỗ …

283 security  cookies  web  csrf  owasp 

Tôi đang gửi dữ liệu từ chế độ xem đến bộ điều khiển bằng AJAX và tôi gặp lỗi này: CẢNH BÁO: Không thể xác minh tính xác thực của mã thông báo CSRF Tôi nghĩ rằng tôi phải gửi mã thông báo này với dữ liệu. Có ai biết …

238 ruby-on-rails  jquery  csrf 

Tôi đã thực hiện trong ứng dụng của mình việc giảm thiểu các cuộc tấn công CSRF sau các thông tin mà tôi đã đọc trên một số bài đăng trên blog trên internet. Đặc biệt những bài đăng này đã là động lực thực hiện của tôi Thực tiễn …

207 asp.net-mvc  ajax  asp.net-mvc-2  csrf  antiforgerytoken 

Tôi có thể sử dụng một số trợ giúp tuân thủ cơ chế bảo vệ CSRF của Django thông qua bài đăng AJAX của tôi. Tôi đã làm theo chỉ dẫn ở đây: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Tôi đã sao chép chính xác mã mẫu AJAX trên trang đó: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Tôi đặt một …

180 python  ajax  django  csrf 

Tôi gặp sự cố với AntiForgeryToken với ajax. Tôi đang sử dụng ASP.NET MVC 3. Tôi đã thử giải pháp trong các cuộc gọi jQuery Ajax và Html.AntiForgeryToken () . Sử dụng giải pháp đó, mã thông báo hiện đang được thông qua: var data = { ... } // …

167 asp.net  ajax  asp.net-mvc  asp.net-mvc-3  csrf 

Từ những gì tôi đã học được cho đến nay, mục đích của các mã thông báo là để ngăn chặn kẻ tấn công giả mạo đệ trình biểu mẫu. Ví dụ: nếu một trang web có một hình thức nhập các mặt hàng được thêm vào giỏ hàng của …

161 php  token  csrf 

Tôi biết xác thực dựa trên cookie. Cờ SSL và httpOnly có thể được áp dụng để bảo vệ xác thực dựa trên cookie khỏi MITM và XSS. Tuy nhiên, sẽ cần nhiều biện pháp đặc biệt hơn để áp dụng để bảo vệ nó khỏi CSRF. Họ chỉ là …

159 security  authentication  cookies  csrf  jwt 

Tôi đã thấy các bài viết và bài đăng trên tất cả (bao gồm SO) về chủ đề này và bình luận phổ biến là chính sách cùng nguồn gốc ngăn chặn một biểu mẫu POST trên các tên miền. Nơi duy nhất tôi thấy ai đó đề xuất rằng …

145 html  security  http  csrf  same-origin-policy 

Nếu protect_from_forgerytùy chọn được đề cập trong application_controll, thì tôi có thể đăng nhập và thực hiện bất kỳ yêu cầu GET nào, nhưng trên yêu cầu POST đầu tiên, Rails đặt lại phiên, nó sẽ đăng xuất tôi. Tôi protect_from_forgerytạm thời tắt tùy chọn này, nhưng muốn sử dụng …

129 ruby-on-rails  angularjs  csrf  protect-from-forgery 

Có cần thiết phải sử dụng Bảo vệ CSRF khi ứng dụng dựa vào xác thực không trạng thái (sử dụng thứ gì đó như HMAC) không? Thí dụ: Chúng tôi đã có một ứng dụng trang duy nhất (nếu không chúng ta phải thêm mã thông báo mỗi liên …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

Trang đăng ký của tôi đang hiển thị biểu mẫu đúng với CsrfToken ( {{ csrf_field() }}) có trong biểu mẫu). HTML biểu mẫu <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Tôi đang sử dụng xác thực sẵn có cho người dùng. Không thay …

111 php  laravel  csrf  laravel-5.5 

Tôi biết rằng có các câu trả lời liên quan đến Django Rest Framework, nhưng tôi không thể tìm thấy giải pháp cho vấn đề của mình. Tôi có một ứng dụng có xác thực và một số chức năng. Tôi đã thêm một ứng dụng mới vào nó, sử …

111 django  django-rest-framework  csrf  django-csrf 

Tôi có một ứng dụng rails cung cấp một số API cho một ứng dụng iPhone. Tôi muốn có thể chỉ cần đăng trên một tài nguyên mà không cần quan tâm đến việc lấy đúng mã thông báo CSRF. Tôi đã thử một số phương pháp mà tôi thấy …

105 ruby-on-rails-3  csrf 

Câu hỏi này chỉ là về việc bảo vệ chống lại các cuộc tấn công Cross Site Request Forgery. Đặc biệt là về: Bảo vệ thông qua tiêu đề Nguồn gốc (CORS) có tốt như bảo vệ thông qua mã thông báo CSRF không? Thí dụ: Alice đã đăng nhập …

103 javascript  security  cors  csrf