Вопросы с тегом 'csrf'

Cross-Site Request Forgery - это вредоносная атака для использования доверия веб-сайта в браузере пользователя.
4 отв.

Что такое токен CSRF? Каково его значение и как оно работает?

Хорошо, ребята, я пишу приложение Django, и мне просто нужно понять, что на самом деле означает токен csrf и как он защищает данные. Являются ли почтовые данные небезопасными, если вы не используете токены csrf? Я знаю, как использовать csrf_token, ...
06 марта '11 в 1:17
4 отв.

Почему так часто помещать токены CSRF в файлы cookie?

Я пытаюсь понять всю проблему с CSRF и соответствующие способы ее предотвращения. (Ресурсы, которые я читал, понимал и соглашался с: OWASP CSRF Предупреждение CHeat Sheet, Вопросы о CSRF.) Как я понимаю, уязвимость вокруг CSRF вводится по предположе...
10 дек. '13 в 23:45
16 отв.

ПРЕДУПРЕЖДЕНИЕ. Невозможно проверить рельсы аутентификации маркера CSRF.

Я отправляю данные с представления на контроллер с AJAXand, и я получил эту ошибку: ПРЕДУПРЕЖДЕНИЕ: невозможно проверить подлинность CSRF-токена Думаю, мне нужно отправить этот токен с данными. Кто-нибудь знает, как я могу это сделать? Измени...
26 авг. '11 в 13:23
19 отв.

jQuery Ajax вызывает и Html.AntiForgeryToken()

Я применил в своем приложении смягчение атак CSRF в соответствии с информацией, которую я прочитал в блоге в Интернете. В частности, эти сообщения были драйвером моей реализации Рекомендации для ASP.NET MVC из группы контента для разработчиков ASP....
02 нояб. '10 в 3:39
18 отв.

Ошибка Django CSRF с запросом POJ Ajax

Я могу использовать некоторую помощь, связанную с механизмом защиты Django CSRF, через мой пост AJAX. Я следил за указаниями здесь: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я скопировал код примера AJAX, который у них есть на этой ст...
24 февр. '11 в 7:58
4 отв.

Нужны ли в регистрационных формах токены против атак CSRF?

Из того, что я узнал до сих пор, цель жетонов состоит в том, чтобы не дать злоумышленнику подделать отправку формы. Например, если на веб-сайте была форма, которая вводила добавленные элементы в вашу корзину покупок, а злоумышленник мог бы спамить в...
20 июня '11 в 17:30
8 отв.

Rails CSRF Protection + Angular.js: protect_from_forgery заставляет меня выйти на POST

Если параметр protect_from_forgery указан в application_controller, то я могу входить в систему и выполнять любые запросы GET, но при первом запросе POST Rails сбрасывает сеанс, который выводит меня из системы. Я временно отключил параметр protect...
06 февр. '13 в 19:41
7 отв.

включить antiforgerytoken в ajax post ASP.NET MVC

У меня возникают проблемы с AntiForgeryToken с помощью ajax. Я использую ASP.NET MVC 3. Я попробовал решение в jQuery Ajax-вызовах и Html.AntiForgeryToken(). Используя это решение, токен теперь передается: var data = { ... } // with token, key is '_...
23 янв. '13 в 9:18
3 отв.

POSTING

Я видел статьи и сообщения по всему (включая SO) по этой теме, и преобладающий комментарий заключается в том, что политика одного и того же происхождения предотвращает получение формы POST по доменам. Единственное место, где я видел кого-то, говорит ...
11 июля '12 в 2:54
2 отв.

CSRF-токен, необходимый при использовании аутентификации без учета состояния (= без учета)?

Нужно ли использовать CSRF Protection, когда приложение использует аутентификацию без аутентификации (используя что-то вроде HMAC)? Пример: У нас есть одностраничное приложение (в противном случае мы должны добавить токен на каждую ссылку: <a ...
26 янв. '14 в 1:40
12 отв.

Недопустимый токен CSRF "null" был найден в параметре запроса "_csrf" или заголовке "X-CSRF-TOKEN"

После настройки Spring Security 3.2, _csrf.token не привязан к запросу или объекту сеанса. Это конфиг безопасности Spring: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...
15 янв. '14 в 5:27
11 отв.

rails - "ВНИМАНИЕ: Невозможно проверить подлинность CSRF-токена" для запросов json

Как я могу получить токен CSRF для передачи с помощью запроса JSON? Я знаю, что по соображениям безопасности Rails проверяет токен CSRF на всех типах запросов (включая JSON/XML). Я мог бы установить мой контроллер skip_before_filter :verify_authen...
20 февр. '12 в 17:40
3 отв.

Отключить токен CSRF в рельсах 3

У меня есть приложение rails, которое обслуживает apis для приложения iphone. Я хочу, чтобы иметь возможность просто размещать на ресурсе, не обращая внимания на получение правильного токена csrf. Я пробовал какой-то метод, который я вижу здесь в sta...
14 апр. '11 в 23:34
2 отв.

Где хранить JWT в браузере? Как защитить от CSRF?

Я знаю аутентификацию на основе файлов cookie. Флаг SSL и HttpOnly может применяться для защиты аутентификации на основе файлов cookie от MITM и XSS. Однако для защиты его от CSRF потребуются дополнительные специальные меры. Они немного сложнее. (ссы...
21 нояб. '14 в 20:44
4 отв.

Angular против Asp.Net WebApi, внедрить CSRF на сервере

Я реализую веб-сайт в Angular.js, который попадает в бэкэнд ASP.NET WebAPI. Angular.js имеет встроенные функции для защиты от анти-csrf. В каждом HTTP-запросе он будет искать cookie под названием "XSRF-TOKEN" и отправит его в виде заголовка "X-XSR...
22 марта '13 в 18:47