Вопросы с тегом 'csrf'

Cross-Site Request Forgery - это вредоносная атака для использования доверия веб-сайта в браузере пользователя.
4

Что такое токен CSRF? Каково его значение и как оно работает?

Хорошо, ребята, я пишу приложение Django, и мне просто нужно понять, что на самом деле означает токен csrf и как он защищает данные. Являются ли почтовые данные небезопасными, если вы не используете токены csrf? Я знаю, как использовать csrf_token, ...
05 мар. '11 в 22:17
4

Почему так часто помещать токены CSRF в файлы cookie?

Я пытаюсь понять всю проблему с CSRF и соответствующие способы ее предотвращения. (Ресурсы, которые я читал, понимал и соглашался с: OWASP CSRF Предупреждение CHeat Sheet, Вопросы о CSRF.) Как я понимаю, уязвимость вокруг CSRF вводится по предположе...
10 дек. '13 в 20:45
16

ПРЕДУПРЕЖДЕНИЕ. Невозможно проверить рельсы аутентификации маркера CSRF.

Я отправляю данные с представления на контроллер с AJAXand, и я получил эту ошибку: ПРЕДУПРЕЖДЕНИЕ: невозможно проверить подлинность CSRF-токена Думаю, мне нужно отправить этот токен с данными. Кто-нибудь знает, как я могу это сделать? Измени...
26 авг. '11 в 10:23
19

jQuery Ajax вызывает и Html.AntiForgeryToken()

Я применил в своем приложении смягчение атак CSRF в соответствии с информацией, которую я прочитал в блоге в Интернете. В частности, эти сообщения были драйвером моей реализации Рекомендации для ASP.NET MVC из группы контента для разработчиков ASP....
02 нояб. '10 в 0:39
18

Ошибка Django CSRF с запросом POJ Ajax

Я могу использовать некоторую помощь, связанную с механизмом защиты Django CSRF, через мой пост AJAX. Я следил за указаниями здесь: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я скопировал код примера AJAX, который у них есть на этой ст...
24 февр. '11 в 4:58
4

Нужны ли в регистрационных формах токены против атак CSRF?

Из того, что я узнал до сих пор, цель жетонов состоит в том, чтобы не дать злоумышленнику подделать отправку формы. Например, если на веб-сайте была форма, которая вводила добавленные элементы в вашу корзину покупок, а злоумышленник мог бы спамить в...
20 июн. '11 в 14:30
8

Rails CSRF Protection + Angular.js: protect_from_forgery заставляет меня выйти на POST

Если параметр protect_from_forgery указан в application_controller, то я могу входить в систему и выполнять любые запросы GET, но при первом запросе POST Rails сбрасывает сеанс, который выводит меня из системы. Я временно отключил параметр protect...
06 февр. '13 в 16:41
7

включить antiforgerytoken в ajax post ASP.NET MVC

У меня возникают проблемы с AntiForgeryToken с помощью ajax. Я использую ASP.NET MVC 3. Я попробовал решение в jQuery Ajax-вызовах и Html.AntiForgeryToken(). Используя это решение, токен теперь передается: var data = { ... } // with token, key is '_...
23 янв. '13 в 6:18
3

POSTING

Я видел статьи и сообщения по всему (включая SO) по этой теме, и преобладающий комментарий заключается в том, что политика одного и того же происхождения предотвращает получение формы POST по доменам. Единственное место, где я видел кого-то, говорит ...
10 июл. '12 в 23:54
15

"Срок действия страницы истек из-за бездействия" - Laravel 5.5

Моя страница регистрации правильно показывает форму с помощью CsrfToken ({{ csrf_field() }}), представленной в форме). Форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> ...
10 сент. '17 в 14:18
12

Недопустимый токен CSRF "null" был найден в параметре запроса "_csrf" или заголовке "X-CSRF-TOKEN"

После настройки Spring Security 3.2, _csrf.token не привязан к запросу или объекту сеанса. Это конфиг безопасности Spring: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...
15 янв. '14 в 2:27
2

CSRF-токен, необходимый при использовании аутентификации без учета состояния (= без учета)?

Нужно ли использовать CSRF Protection, когда приложение использует аутентификацию без аутентификации (используя что-то вроде HMAC)? Пример: У нас есть одностраничное приложение (в противном случае мы должны добавить токен на каждую ссылку: <a ...
25 янв. '14 в 22:40
11

rails - "ВНИМАНИЕ: Невозможно проверить подлинность CSRF-токена" для запросов json

Как я могу получить токен CSRF для передачи с помощью запроса JSON? Я знаю, что по соображениям безопасности Rails проверяет токен CSRF на всех типах запросов (включая JSON/XML). Я мог бы установить мой контроллер skip_before_filter :verify_authen...
20 февр. '12 в 14:40
3

Отключить токен CSRF в рельсах 3

У меня есть приложение rails, которое обслуживает apis для приложения iphone. Я хочу, чтобы иметь возможность просто размещать на ресурсе, не обращая внимания на получение правильного токена csrf. Я пробовал какой-то метод, который я вижу здесь в sta...
14 апр. '11 в 20:34
6

Как предотвратить CSRF в приложении RESTful?

Подделка запроса на межсайтовый запрос (CSRF) обычно предотвращается одним из следующих способов: Проверить референт - RESTful, но ненадежный добавить токен в форму и сохранить токен в сеансе сервера - не действительно RESTful загадочные одноразо...
06 мар. '10 в 10:02