csrf-protection

    5热度

    1回答

    为什么浏览器允许CSRF?

    我对网络安全非常陌生,当我阅读更多有关不同攻击媒介的信息时,我的想法很容易让他们首先被允许。这就像网络被设计成具有破坏性的安全模式并且容易受到攻击。 我也很惊讶于模糊和不准确的信息量。例如,起初单原产地政策听起来不错,然后我读到它只适用于XHR,哦顺便说一句,实际上并没有阻止XHR交叉源POST,这是传统的CSRF攻击。很高兴我一直在阅读。 还有一个Origin头文件,服务器可以使用它来确保请求来
    security web csrf csrf-protection 2016-06-01

    2热度

    1回答

    反向移植CSRF_TRUSTED_ORIGINS到DJANGO 1.6

    问题: 在Django中1.9,CSRF_TRUSTED_ORIGINS加入到该可用的设置,其允许,例如,来自所有子域访问该应用程序: CSRF_TRUSTED_ORIGINS = ["*.example.com"] 这正是我们需要的。 问题是,我们有一个遗留系统与Django 1.6(不要问,这是伤心)。无法升级。 而且,在Django 1.6中,原始支票是built/hardcoded i
    python django csrf csrf-protection django-middleware 2016-07-22

    1热度

    1回答

    防伪 - 更好地理解它的工作原理

    我正在学习如何保护网站免受未经授权的访问,并且我遇到了防伪。这是我的想法(和我的问题)。如果我错了,请纠正我。 通过在存在于网页上的Form中插入@Html.AntiForgeryToken(),可以防止防伪在ASP.NET MVC应用程序中处理(可能有许多其他方式,但这种方式很常见)。 此令牌后使用一次的用户尝试将数据POST到系统中,在那里,如果我们装点我们的IActionResult或Jso
    html asp.net-mvc asp.net-core csrf-protection antiforgerytoken 2016-07-24

    0热度

    1回答

    使用不同的HTTP方法防止CSRF?

    我在我的网站上使用AJAX和令牌来防止CSRF。 是否有任何意义使用不同的HTTP方法,而不是POST来增加对CSRF的保护?或任何其他攻击? 假设: 我们使用不同的安全令牌和常量的HTTP方法。为什么不把它变成可变的? 如果一个坏人通过POST方法发送数据,但服务器等待来自这个特定用户的PUT方法。
    ajax xmlhttprequest xss csrf csrf-protection 2016-06-09

    1热度

    2回答

    Laravel tokenmismatch异常

    每过一段时间,我都会遇到令牌不匹配异常。我发送令牌,以便不能这样做。当我清除缓存并删除我的cookies时,它又被修复了。这可能是什么? 其他信息 它开始发生时,我缓存的所有呈现的HTML,以使网站能够下线。
    laravel token csrf csrf-protection 2016-08-01

    2热度

    1回答

    CSRF保护服务工作者后台同步的最佳实践模式

    我有一个请求使用嵌入在页面中的一次性令牌来确保CSRF保护 - 攻击者可以欺骗我的用户进行非法请求,但他们无法获得令牌,即使他们能够根据每个请求更改并且可以过期。 到目前为止,这么安全。 我想实现与服务工作者的后台同步,因此用户可以离线发布数据,然后在他们获得连接后再发送该数据。 但是,这意味着该页面不可用于获取CSRF令牌,并且在用户构建该请求时与请求链接的任何令牌可能在数据实际发送时无效。 这
    service-worker csrf-protection background-sync 2016-08-05

    1热度

    1回答

    向所有FORM提交添加CSRF令牌

    我最近在我的Web应用程序中启用了CSRF保护。有大约100多个包含FORM提交的JSP页面。什么是添加CSRF令牌的最佳方式: <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> ,使得所有的表单提交才会有这种形式的数据。我不想将此参数添加到每个单独的FORM提交。
    spring-security csrf csrf-protection 2016-08-13

    0热度

    1回答

    需要CSRF令牌吗?

    好吧,仍然试图环绕它们是什么我的头,并且需要..believe我我读过它丰富和认为我理解,但我可能不... 最接近我可以得到的是,他们是绝对当您在您的网站上以任何形式登录页面时需要... 我的问题是当您有任何基本联系表单和/或填写表格理由......你需要这些页面的CSRF令牌吗?
    php csrf contact-form csrf-protection 2016-08-16

    0热度

    1回答

    跨平台CSRF

    我们有一个ASP.Net web应用程序,我们正在考虑转移到另一个堆栈,如Python或Ruby。我们不希望一次性替换整个应用程序,而是希望逐渐替代暴露的REST API。我们的想法是在现有的.Net应用程序的一侧运行新的Web应用程序,并在我们实施时发送一些Ajax请求。 我的问题是: 是否有任何跨平台的CSRF库可以用来验证.Net端和Python/Ruby/Node堆栈上的请求? 理想情况下
    asp.net security architecture csrf csrf-protection 2016-06-28

    1热度

    1回答

    使用Flask WTF-Forms手动生成CSRF令牌

    我想创建并使用python代码填写Flask WTF-Form。但是,当我使用python代码创建CSRF标记时,表单不会自动生成CSRF标记。有没有办法手动做到这一点? 有问题的形式: from flask_wtf import Form from wtforms import StringField from wtforms.validators import DataRequired,
    python flask wtforms flask-wtforms csrf-protection 2016-07-06
最新问题