Pytania otagowane jako csrf

Fałszerstwo żądań między witrynami to złośliwy atak wykorzystujący zaufanie witryny do przeglądarki użytkownika.

20
Wywołania jQuery Ajax i Html.AntiForgeryToken ()
W mojej aplikacji zaimplementowałem ograniczenie do ataków CSRF zgodnie z informacjami, które przeczytałem na pewnym blogu w Internecie. W szczególności te posty były motorem mojej implementacji Najlepsze praktyki dotyczące ASP.NET MVC od zespołu ds. Treści programistów ASP.NET i narzędzi internetowych Anatomia ataku typu cross-site Request Forgery Attack z bloga Phila …
18
Nie powiodło się sprawdzenie Django CSRF przy żądaniu Ajax POST
Mógłbym skorzystać z pomocy w przestrzeganiu mechanizmu ochrony CSRF Django za pośrednictwem mojego postu AJAX. Postępowałem zgodnie ze wskazówkami tutaj: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Skopiowałem dokładnie przykładowy kod AJAX, który mają na tej stronie: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Umieszczam alert drukujący zawartość getCookie('csrftoken')przed xhr.setRequestHeaderpołączeniem i rzeczywiście jest on wypełniony niektórymi danymi. Nie jestem pewien, jak sprawdzić, …
180 python  ajax  django  csrf 
11
dołączanie fałszywego tokena w AJAX po ASP.NET MVC
Mam problem z AntiForgeryTokenem z ajaxem. Korzystam z ASP.NET MVC 3. Próbowałem rozwiązania w wywołaniach jQuery Ajax i Html.AntiForgeryToken () . Korzystając z tego rozwiązania, token jest teraz przekazywany: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", traditional: true, …
4
Czy formularze logowania wymagają tokenów przeciwko atakom CSRF?
Z tego, czego się do tej pory dowiedziałem, celem tokenów jest zapobieganie sfałszowaniu przesłania formularza przez atakującego. Na przykład, jeśli witryna internetowa miała formularz, który wprowadzał dodawane pozycje do koszyka, a osoba atakująca mogłaby spamować Twój koszyk artykułami, których nie chcesz. Ma to sens, ponieważ może istnieć wiele prawidłowych danych …
161 php  token  csrf 
3
POSTING formularza między domenami
Widziałem artykuły i posty (w tym SO) na ten temat, a dominującym komentarzem jest to, że polityka tego samego pochodzenia zapobiega wysyłaniu formularza POST w różnych domenach. Jedyne miejsce, w którym ktoś sugerował, że polityka tego samego pochodzenia nie dotyczy postów formularzy, jest tutaj . Chciałbym otrzymać odpowiedź z bardziej …
8
Rails CSRF Protection + Angular.js: protect_from_forgery zmusza mnie do wylogowania się z POST
Jeśli protect_from_forgeryopcja jest wymieniona w application_controller, mogę się zalogować i wykonać dowolne żądanie GET, ale przy pierwszym żądaniu POST Railsy resetują sesję, co powoduje wylogowanie. protect_from_forgeryTymczasowo wyłączyłem tę opcję, ale chciałbym jej używać z Angular.js. Czy jest jakiś sposób, aby to zrobić?
2
Token CSRF jest potrzebny podczas korzystania z uwierzytelniania bezstanowego (= bezsesyjnego)?
Czy konieczne jest stosowanie ochrony CSRF, gdy aplikacja opiera się na uwierzytelnianiu bezstanowym (przy użyciu czegoś takiego jak HMAC)? Przykład: Mamy jedną aplikację, stronę (w przeciwnym razie mamy do dołączania żeton na każdym linku: <a href="...?token=xyz">...</a>. Użytkownik uwierzytelnia się za pomocą POST /auth. Po pomyślnym uwierzytelnieniu serwer zwróci pewien token. …
12
Django Rest Framework usuwa csrf
Wiem, że istnieją odpowiedzi dotyczące Django Rest Framework, ale nie mogłem znaleźć rozwiązania mojego problemu. Mam aplikację, która ma uwierzytelnianie i pewne funkcje. Dodałem do niego nową aplikację, która korzysta z Django Rest Framework. Chcę korzystać z biblioteki tylko w tej aplikacji. Chcę również wysłać żądanie POST i zawsze otrzymuję …
18
„Strona wygasła z powodu braku aktywności” - Laravel 5.5
Moja strona rejestru prawidłowo wyświetla formularz z CsrfToken ( {{ csrf_field() }}) obecnym w formularzu). Formularz HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Używam wbudowanego uwierzytelniania dla użytkowników. Nie zmieniłem niczego poza trasami i przekierowaniami. Kiedy wysyłam formularz (tuż po ponownym załadowaniu również), …
111 php  laravel  csrf  laravel-5.5 
3
Wyłącz token CSRF w szynach 3
Mam aplikację rails, która obsługuje niektóre interfejsy API do aplikacji na iPhone'a. Chcę móc po prostu opublikować post na zasobie, nie myśląc o uzyskaniu prawidłowego tokena CSRF. Wypróbowałem kilka metod, które widzę tutaj w przepływie stosu, ale wygląda na to, że nie działają już na szynach 3. Dziękuję za pomoc.
2
Ochrona CSRF z nagłówkiem CORS Origin vs. token CSRF
To pytanie dotyczy tylko ochrony przed atakami typu Cross Site Request Forgery. Chodzi w szczególności o: Czy ochrona za pośrednictwem nagłówka Origin (CORS) jest tak dobra, jak ochrona za pośrednictwem tokenu CSRF? Przykład: Alicja jest zalogowana (używając pliku cookie) w swojej przeglądarce na „ https://example.com ”. Zakładam, że korzysta z …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.