csrf-protection

    0热度

    1回答

    CSRF攻击:你能用javascript来修改用户代理头吗?

    假设我使用用户代理头来查看使用哪个浏览器(如果有)以帮助我抵御潜在的CSRF攻击。虽然我知道有大量的CSRF防御措施不需要用户代理标题,但我只想知道用户代理标题的安全性 - CSRF攻击者是否可以将其修改为任何他希望的内容? 我知道起源头和参照标头是从这样的修改很好的保护,因为它们是forbidden headers。然而,用户代理标题看起来不是。 这是否意味着一个CSRF攻击者可以平凡改变Use
    javascript jquery security csrf csrf-protection 2016-11-21

    0热度

    1回答

    如何为某些测试启用VerifyCsrfToken?

    Laravel默认为disablesVerifyCsrfToken中间件如果正在运行测试。因此我没有注意到api路由需要csrf令牌才能成功。有没有办法让它恢复一些测试?像 function withVerifyCsrfTokenMiddleware() { $this->app... // here we're passing something to the app } ,并
    php laravel automated-tests csrf-protection 2016-11-23

    1热度

    2回答

    的ActionController :: InvalidAuthenticityToken采用后仅

    Rails的5我有一个简单的应用程序,我使用Rails 5.0.0.1(应用程序被调用SimpleTest的 - 它是那样简单,因为我可以把它),以图出一些东西在Rails 5.我得到一个奇怪的错误。 这里的config/routes.rb中 Rails.application.routes.draw do root "foo#bar" get "dobaz" => "foo#
    ruby-on-rails ruby session ruby-on-rails-5 csrf-protection 2016-11-29

    0热度

    2回答

    Form.method中的CSRF问题(asp.net SPA)

    我在使用HP fortify进行扫描时遇到了CSRF问题。 jQuery.fn.downloadContentUsingServerEcho = function (fileName, contentType, contentEncoding, content) { //// test //$.ajax({ // type: 'POST', // u
    asp.net csrf csrf-protection fortify 2016-11-30

    2热度

    1回答

    Spring Boot CSRF

    试图在最新的Spring Boot上实现CSRF保护。 互联网上的所有例子都基于用户登录和身份验证,我不需要这些。 我的网站没有任何要求验证的部分。 我想 1) Rest requests come from within site. No direct request from outside with wget to be allowed. 2) All pages (routes) must
    spring-boot csrf-protection 2016-12-02

    0热度

    1回答

    OWASP CSRFGuard:需要令牌从请求

    我试图保护利用OWASP CSRFGuard我的应用程序丢失,所以我以这种方式配置的web.xml文件: <!-- ********* FILTERS for Preventing CSRF ********* --> <listener> <listener-class>org.owasp.csrfguard.CsrfGuardServletContextListener</lis
    java tomcat java-ee csrf-protection owasp 2016-12-06

    0热度

    1回答

    X-Requested-With header的可能值是多少?

    x-requested-header对我来说有点令人困惑。我知道它可以用来抵御CSRF攻击,并且它被用来识别Ajax调用...但是它究竟是什么? 它只是告诉你什么请求是......请求? 能不能有一个合理的情况,其中标题存在但设置为“XMLHttpRequest”以外的某个值?我会这样想,但我从来没有见过它设置为其他任何东西。
    security web csrf csrf-protection 2016-12-06

    1热度

    1回答

    IdentityServer4中的CSRF保护

    IdentityServer4是否具有开箱即用的CSRF保护功能,还是我们需要配置任何以启用/加强它的功能?我已经看到在/connect/authorize和/signin-oidc之间传递的值“state”,但我不确定是否足够。如果重要的话,我们使用没有同意页面(内部应用程序)和ASP.NET MVC OIDC的混合流。
    oauth-2.0 asp.net-core-mvc openid-connect csrf-protection identityserver4 2016-12-07

    2热度

    1回答

    是否需要在服务器端生成反XSRF/CSRF令牌?

    几乎所有关于反CSRF机制的文档都声明应该在服务器端生成CSRF令牌。不过,我想知道是否有必要。 我想要实现反CSRF在下列步骤操作: 没有服务器端生成的CSRF令牌; 在浏览器端,在每个AJAX或表单提交中,我们的JavaScript会生成一个随机字符串作为标记。在实际的AJAX或表单提交发生之前,该令牌被写入cookie csrf;并将令牌添加到参数_csrf。 在服务器端,每个请求都应该有饼
    security web csrf csrf-protection 2016-12-14

    1热度

    1回答

    Laravel-令牌missmatch例外AJAX请求

    我被ajax张贴形式如下 var jsonData = JSON.stringify($('#basic-info').serializeObject()); $.ajax({ url : '/users/save-basic-info/'+userId, type : 'POST', data : jsonData, succe
    php jquery ajax laravel-5.2 csrf-protection 2016-12-17
最新问题