0
我想让Twilio与我的express/node.js安装一起工作。 Twilio在收到短信时正在向我的服务器发送传入连接。然后我用短信答复回复此问题。CSRF与Twilio
这是第一次。然后第二次,我的服务器阻止Twilio,因为它说它是伪造的请求。
有没有适当的方法来解决这个问题?
A
回答
2
您应该为该URL禁用CSRF。看到这个问题如何做到这一点:Disable csrf validation for some requests on Express
CSRF是一个漏洞,只涉及需要cookie的形式的会话信息的请求(这就是为什么CSRF有时也被称为“会话骑”)。简而言之,CSRF是指恶意网站所有者可以在他们控制的页面上使用<form>标签来向您的网站发布表单,从而在用户不知情的情况下将已验证的请求发送到您的服务器。例如,假设Facebook有一个/delete_user.php,它会删除当前已通过身份验证的用户。对该URL的CSRF攻击将采用恶意网站所有者网站上<form action="http://facebook.com/delete_user.php">标记的形式(无双关语),该标记在用户不知情的情况下提交。 /delete_user.php的非CSRF安全实现将会看到用户的auth cookie并删除用户 - 这对用户的沮丧很大。
无论如何,长话短说,您的Twilio处理程序不需要用户的浏览器cookie,因此不受CSRF攻击。只需禁用Twilio回调URL的CSRF检查。
相关问题
- 1. Twilio与51465
- 2. 电话与twilio
- 3. CSRF保护与JavaScript?
- 4. Twilio与Laravel集成
- 5. laravel CSRF令牌与枝条
- 6. Django CSRF与ajax失败
- 7. SWFUpload与Django 1.2 csrf问题
- 8. CSRF与WTforms和webapp2的
- 9. Twilio问题与多线程
- 10. 国际电话与twilio
- 11. [email protected]与Twilio,Clickatell等?
- 12. 与Twilio拨打电话
- 13. Phoenix和CSRF的CSRF保护
- 14. 与Microsoft Edge和IE11的CSRF问题
- 15. CSRF与jQuery和$ .post在Django 1.3
- 16. CSRF令牌不起作用(yii2)与https
- 17. csrf令牌问题与多个模板
- 18. 的Facebook SDK与笨和笨CSRF启用
- 19. 与CSRF令牌和模板背景
- 20. 连接GoAutoDial与Twilio弹性SIP EC2
- 21. 使用ICE&TURN与twilio视频
- 22. Twilio视频静音参与者
- 23. Twilio短信不能与轨道4
- 24. 是以下情形可能与Twilio
- 25. 手机将不会停止与Twilio Taskrouter
- 26. Elm:http.post csrf
- 27. Grandstream + Twilio
- 28. Twilio ListMessages
- 29. CSRF 403禁止 - 无效的CSRF令牌
- 30. Twilio号码到另一个twilio号码
感谢您的精彩解释。我将禁用该控制器的csrf检查。我很好奇,为什么浏览器会允许另一个网页骑在另一个网页上。为什么浏览器不在网站之间分配cookie? – Alexis 2013-02-10 22:24:22
浏览器*确实在站点之间分割Cookie。攻击者没有时间访问实际的facebook.com cookie(从上面继续我的示例)。执行此攻击是为了在用户的浏览器内部提交GET/POST请求以引起一些副作用。 – tom 2013-02-10 22:52:29
啊。得到它了。非常感谢你! – Alexis 2013-02-10 23:17:58