Вопросы с тегом 'csrf-protection'

Подделка запросов на межсайтовый запрос, также известный как атака одним нажатием или сеансом верховой езды и сокращенная как CSRF (иногда произносится как морской серфинг) или XSRF, представляет собой тип вредоносного использования веб-сайта, на основании которого от пользователя передаются несанкционированные команды, доверие веб-сайтов. В отличие от межсайтового скриптинга (XSS), который использует доверие, которое пользователь имеет для определенного сайта, CSRF использует доверие, которое имеет сайт в пользовательском браузере.
2

CSRF-токен, необходимый при использовании аутентификации без учета состояния (= без учета)?

Нужно ли использовать CSRF Protection, когда приложение использует аутентификацию без аутентификации (используя что-то вроде HMAC)? Пример: У нас есть одностраничное приложение (в противном случае мы должны добавить токен на каждую ссылку: <a ...
25 янв. '14 в 22:40
12

Недопустимый токен CSRF "null" был найден в параметре запроса "_csrf" или заголовке "X-CSRF-TOKEN"

После настройки Spring Security 3.2, _csrf.token не привязан к запросу или объекту сеанса. Это конфиг безопасности Spring: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...
15 янв. '14 в 2:27
5

Laravel 5.6 - Passport JWT httponly cookie-аутентификация SPA для самопотребляющего API?

ПРИМЕЧАНИЕ: у меня было 4 щедрости на этот вопрос, но ни один из приведенных ниже ответов не является ответом, необходимым для этого вопроса. Все, что нужно, находится в обновлении 3 ниже, просто для поиска кода Laravel для реализации. ОБНОВЛЕНИЕ 3...
07 дек. '18 в 23:26
2

Как сделать токен предотвращает атаку csrf?

Я прочитал о CSRF и о том, как использовать для предотвращения этого неактивный шаблон маркера Unpredictable Synchronizer. Я не совсем понял, как это работает. Возьмем этот сценарий: Пользователь регистрируется на сайте с этой формой: <form act...
09 июл. '15 в 16:36
5

Как отправить csrf_token() внутри формы AngularJS с использованием API Laravel?

Я пытаюсь создать приложение для отдыха angular + laravel. Я могу получить представление о моей базе данных. Когда я пытаюсь добавить новые элементы. Я получаю 500 error, говоря мне, что несовпадающий токен csrf. Мой макет формы: <form class="for...
20 авг. '13 в 13:45
2

Как отключить защиту Django csrf только в определенных случаях?

Я пытаюсь написать сайт в Django, где URL-адреса API совпадают с URL-адресами пользователей. Но у меня проблемы со страницами, использующими запросы POST и CSRF. Например, если у меня есть страница /foo/add, я хочу, чтобы отправлять ей запросы POST д...
07 июл. '12 в 10:56
3

angular4 httpclient csrf не отправляет x-xsrf-токен

В документации angular указано, что angular httpclient автоматически отправит значение cookie XSRF-TOKEN в заголовке X-XSRF-TOKEN почтового запроса. Ссылка документации Но он не отправляет мне заголовок. Вот мой код Код Nodejs для установки файл...
04 сент. '17 в 16:17
1

Как выборочно отключить проверку CSRF в инфраструктуре Phoenix

Я пытаюсь создать вкладку страницы Facebook, которая указывает на мой сайт. Facebook отправляет запрос HTTP POST на адрес моего веб-сайта. Проблема здесь в том, что сервер имеет встроенную проверку CSRF и возвращает следующую ошибку: (Plug.CSRFProte...
15 сент. '15 в 8:13
2

Столкновения токенов CSRF с несколькими вкладками

Я построил защиту CSRF в своем приложении, просто создав случайный токен на странице каждый, поставив его в сеанс и связав токен с <body> атрибут тега: <body data-csrf-token="csrf_GeJf53caJD6Q5WzwAzfy"> Затем на каждом этапе actio...
18 нояб. '13 в 20:29
2

Причины самоотверженного отказа токенов на месте производства

Приложение My Rails время от времени выдает ActionController:: InvalidAuthenticityToken. Это происходит спонтанно один раз в месяц или около того. Поскольку я не думаю, что есть какой-то другой сайт, пытающийся атаковать CSRF, я начал думать о таких ...
30 авг. '16 в 11:25
3

Получить токен CSRF в тесте

Я пишу функциональный тест, и мне нужно сделать запрос ajax post. "Недопустимый токен CSRF. Повторите отправку формы. Как я могу получить токен в своем функциональном тесте? $crawler = $this->client->request( 'POST', $url, array( ...
01 мар. '12 в 21:09
2

JQuery + AJAX + Django = CSRF?

Возможный дубликат: "Идентификатор CSRF отсутствует или неверен" . а параметр post через AJAX в Django Я хотел отправить данные AJAX для аутентификации пользователя, но это было невозможно из-за CSRF. Не могли бы вы рассказать мне, что добави...
27 авг. '11 в 13:40
2

AntiForgeryToken недействителен после входа в систему

У меня есть форма, которую пользователь может опубликовать без входа в систему. Если, однако, его адрес распознается, пароль требуется. Форма пароля проверяется над Ajax и, если успешно, отправляется основная форма. Обе формы требуют действительного ...
01 февр. '12 в 13:44
2

Параметры аутентификации клиента + form_login ломают все токены csrf

У меня есть система Symfony 3.3.13 с различными формами. Чтобы достичь "глубокой связи" в этих формах, т.е. будучи в состоянии щелкнуть по ссылке электронной почты, войти и затем перенаправляться в форму, я добавил следующие изменения: config.yml ...
11 дек. '17 в 22:45
4

В Laravel5, Как отключить промежуточное программное обеспечение VerifycsrfToken для определенного маршрута?

Я использую Laravel5 для разработки приложения. Мое приложение связано с VendHQ API, и я собираюсь получить некоторые данные из VendHQ через их webhook. Согласно их Documentation Когда происходит событие и запускается webhook, отправьте POST запрос...
04 июл. '15 в 17:08