csrf

0热度

1回答

我一直在阅读codeigniter中的crsf保护，但我似乎无法找到一个体面的教程，如何在配置文件中启用csrf后继续。我有一个控制器函数users/create生成的表单提交给另一个函数users/submit_new。我使用表单助手类，以便自动生成crsf字段。我对提交功能此验证功能： if ($this->input->post(get_csrf_token_name()) == ge

0热度

1回答

弹簧引导角度2后置方法403错误

我有一个角度2前端和弹簧引导后端的应用程序。我正在使用弹簧启动安全性csrf，通过遵循教程启用，并希望保持这种方式。对接我现在面临的rpoblem，当我从angular 2应用程序发布用户注册请求时，我得到了403禁止的错误。但是使用登录POST方法工作。这里是我的春天启动安全配置： @Configuration @EnableGlobalMethodSecurity(prePostEnabl

0热度

2回答

如果开发人员通过引用链接头缓解攻击，是否有可能实现CSRF

经过pentate测试后，开发人员仅通过引用链接头缓解了CSRF漏洞。该应用程序还有其他漏洞，如XSS。在XSS的帮助下可以利用CSRF吗？如果是的话如何？

1热度

1回答

获取新的csrf标记，即使当前标记已过期

即使当前标记可能已过期，Laravel是否可以获取新的CSRF标记？我希望能够在不更新用户界面的情况下获得新的令牌。我一直在试验可见性API以检查浏览器（仅移动用户）是否再次活跃，但我很快发现这不是真正的问题。如果令牌已过期，目前为止我无法获得新令牌，因为我收到令牌不匹配异常。我想要一个新的标记，忽略任何不匹配的异常，将它放入DOM并让用户再次继续。我的用户可能会经历很长的空闲时间，但是当他/

0热度

1回答

如何使用jQuery从POST标题中检索csrf标记时仅POST方法？

我正在使用Spring编写Rest Api，并在使用此API的前端使用jQuery。会话存储在cookie中，因此我需要使用令牌的CSRF保护。令牌发送请求/响应头并存储在页面上的元标记中。这不是完整的SPA，因此在身份验证和注册时，我发送单独的html页面：index.html（用于通过身份验证的用户），login.html（登录页面），register.html（注册页面）。这里是这个问题，

0热度

1回答

Connect2Id，可能的CSRF检测 - 状态参数是必需的，但没有状态可以被发现

我有与OpenId Connect Server集成我的Spring Boot应用程序的问题。作为服务器我使用connect2Id，它连接到LDAP，并且这工作正常。我对使用LDAP凭证进行身份验证没有任何问题，但在应用程序尝试获取Access令牌时会发生错误。应用为我下面堆 error="invalid_request", error_description="Possible CSRF det

1热度

1回答

如何通过RestFemplate传递CSRF令牌

我有两个Spring Boot REST应用程序。其中一个应用程序调用Spring RestTemplate。让我们调用这些应用程序服务器和客户端应用服务器应用正在发送XSRF-TOKEN令牌的cookie，这是对UI的部分完成。然而，没有办法（我不知道）为服务器区分来自浏览器的请求和来自客户端应用程序的请求。所以我不能有选择地将CSRF令牌从服务器发送到浏览器。有一个内置在弹簧机构允许Res

1热度

2回答

MVC 3中的反CSRF实施3

我想在MVC 3的Global.asax文件中实现Anti-CSRF令牌。是否可以在Gloabl.asax文件中实现同样的功能。

0热度

1回答

CSRF令牌存储在一个变量，并用它为Android Web服务

我已经使用CSRF令牌再生option.but它给错误，而在Android应用程序

16热度

2回答

React前端和REST API，CSRF

以REST API作为后端，由JWT授权来响应前端，但是如何处理会话？例如，登录后，我从REST获取JWT令牌，如果我将它保存到localStorage，我很容易受到XSS的影响，如果我将它保存到Cookies，只有在不设置HttpOnly时才会出现同样的问题，但反应无法读取HttpOnly Cookie（我需要阅读cookie以从中获取jwt，并使用此jwt与其余请求），我也没有提到CSRF问题