Pytania otagowane jako csrf

Fałszerstwo żądań między witrynami to złośliwy atak wykorzystujący zaufanie witryny do przeglądarki użytkownika.

11
W parametrze żądania „_csrf” lub nagłówku „X-CSRF-TOKEN” znaleziono nieprawidłowy token CSRF „null”
Po skonfigurowaniu Spring Security 3.2 _csrf.tokennie jest powiązany z żądaniem ani obiektem sesji. Oto konfiguracja zabezpieczeń wiosny: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Plik login.jsp <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input …
30
Żądanie pocztowe w Laravel - Błąd - 419 Przepraszamy, sesja / 419 Twoja strona wygasła
Zainstalowałem Laravel 5.7 Dodano formularz do pliku \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Dodano do pliku \routes\web.php Route::post('/foo', function () { echo 1; return; }); Po wysłaniu żądania POST: 419 Przepraszamy, sesja wygasła. Odśwież i spróbuj ponownie. W wersji 5.6nie było takiego problemu.
88 php  laravel  csrf 
10
rails - „OSTRZEŻENIE: Nie można zweryfikować autentyczności tokena CSRF” dla żądań urządzeń json
Jak mogę pobrać token CSRF do przekazania z żądaniem JSON? Wiem, że ze względów bezpieczeństwa Railsy sprawdzają token CSRF na wszystkich typach żądań (w tym JSON / XML). Mógłbym włożyć kontroler skip_before_filter :verify_authenticity_token, ale straciłbym ochronę CRSF (nie wskazane :-)). Ta podobna (wciąż nie akceptowana) odpowiedź sugeruje Pobierz token za …
5
Czy usługi sieciowe JSON są podatne na ataki CSRF?
Buduję usługę sieciową, która używa wyłącznie formatu JSON do obsługi żądań i odpowiedzi (tj. Żadnych ładunków zakodowanych w formularzu). Czy usługa internetowa jest podatna na atak CSRF, jeśli spełnione są następujące warunki? Każde POSTżądanie bez obiektu JSON najwyższego poziomu, np., {"foo":"bar"}Zostanie odrzucone z wartością 400. Na przykład POSTżądanie z zawartością …
82 http  security  csrf 
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.