Вопросы с тегом 'csrf-protection'

Подделка запросов на межсайтовый запрос, также известный как атака одним нажатием или сеансом верховой езды и сокращенная как CSRF (иногда произносится как морской серфинг) или XSRF, представляет собой тип вредоносного использования веб-сайта, на основании которого от пользователя передаются несанкционированные команды, доверие веб-сайтов. В отличие от межсайтового скриптинга (XSS), который использует доверие, которое пользователь имеет для определенного сайта, CSRF использует доверие, которое имеет сайт в пользовательском браузере.
2 отв.

CSRF-токен, необходимый при использовании аутентификации без учета состояния (= без учета)?

Нужно ли использовать CSRF Protection, когда приложение использует аутентификацию без аутентификации (используя что-то вроде HMAC)? Пример: У нас есть одностраничное приложение (в противном случае мы должны добавить токен на каждую ссылку: <a ...
26 янв. '14 в 1:40
12 отв.

Недопустимый токен CSRF "null" был найден в параметре запроса "_csrf" или заголовке "X-CSRF-TOKEN"

После настройки Spring Security 3.2, _csrf.token не привязан к запросу или объекту сеанса. Это конфиг безопасности Spring: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...
15 янв. '14 в 5:27
4 отв.

Laravel 5.6 - Passport JWT httponly cookie-аутентификация SPA для самопотребляющего API?

ПРИМЕЧАНИЕ: у меня было 4 щедрости на этот вопрос, но ни один из приведенных ниже ответов не является ответом, необходимым для этого вопроса. Все, что нужно, находится в обновлении 3 ниже, просто для поиска кода Laravel для реализации. ОБНОВЛЕНИЕ 3...
08 дек. '18 в 2:26
2 отв.

Как сделать токен предотвращает атаку csrf?

Я прочитал о CSRF и о том, как использовать для предотвращения этого неактивный шаблон маркера Unpredictable Synchronizer. Я не совсем понял, как это работает. Возьмем этот сценарий: Пользователь регистрируется на сайте с этой формой: <form act...
09 июля '15 в 19:36
5 отв.

Как отправить csrf_token() внутри формы AngularJS с использованием API Laravel?

Я пытаюсь создать приложение для отдыха angular + laravel. Я могу получить представление о моей базе данных. Когда я пытаюсь добавить новые элементы. Я получаю 500 error, говоря мне, что несовпадающий токен csrf. Мой макет формы: <form class="for...
20 авг. '13 в 16:45
2 отв.

Как отключить защиту Django csrf только в определенных случаях?

Я пытаюсь написать сайт в Django, где URL-адреса API совпадают с URL-адресами пользователей. Но у меня проблемы со страницами, использующими запросы POST и CSRF. Например, если у меня есть страница /foo/add, я хочу, чтобы отправлять ей запросы POST д...
07 июля '12 в 13:56
1 отв.

Как выборочно отключить проверку CSRF в инфраструктуре Phoenix

Я пытаюсь создать вкладку страницы Facebook, которая указывает на мой сайт. Facebook отправляет запрос HTTP POST на адрес моего веб-сайта. Проблема здесь в том, что сервер имеет встроенную проверку CSRF и возвращает следующую ошибку: (Plug.CSRFProte...
15 сент. '15 в 11:13
2 отв.

Столкновения токенов CSRF с несколькими вкладками

Я построил защиту CSRF в своем приложении, просто создав случайный токен на странице каждый, поставив его в сеанс и связав токен с <body> атрибут тега: <body data-csrf-token="csrf_GeJf53caJD6Q5WzwAzfy"> Затем на каждом этапе actio...
18 нояб. '13 в 23:29
2 отв.

Причины самоотверженного отказа токенов на месте производства

Приложение My Rails время от времени выдает ActionController:: InvalidAuthenticityToken. Это происходит спонтанно один раз в месяц или около того. Поскольку я не думаю, что есть какой-то другой сайт, пытающийся атаковать CSRF, я начал думать о таких ...
30 авг. '16 в 14:25
3 отв.

Получить токен CSRF в тесте

Я пишу функциональный тест, и мне нужно сделать запрос ajax post. "Недопустимый токен CSRF. Повторите отправку формы. Как я могу получить токен в своем функциональном тесте? $crawler = $this->client->request( 'POST', $url, array( ...
02 марта '12 в 0:09
2 отв.

AntiForgeryToken недействителен после входа в систему

У меня есть форма, которую пользователь может опубликовать без входа в систему. Если, однако, его адрес распознается, пароль требуется. Форма пароля проверяется над Ajax и, если успешно, отправляется основная форма. Обе формы требуют действительного ...
01 февр. '12 в 16:44
2 отв.

Параметры аутентификации клиента + form_login ломают все токены csrf

У меня есть система Symfony 3.3.13 с различными формами. Чтобы достичь "глубокой связи" в этих формах, т.е. будучи в состоянии щелкнуть по ссылке электронной почты, войти и затем перенаправляться в форму, я добавил следующие изменения: config.yml ...
12 дек. '17 в 1:45
2 отв.

JQuery + AJAX + Django = CSRF?

Возможный дубликат: "Идентификатор CSRF отсутствует или неверен" . а параметр post через AJAX в Django Я хотел отправить данные AJAX для аутентификации пользователя, но это было невозможно из-за CSRF. Не могли бы вы рассказать мне, что добави...
27 авг. '11 в 16:40
4 отв.

В Laravel5, Как отключить промежуточное программное обеспечение VerifycsrfToken для определенного маршрута?

Я использую Laravel5 для разработки приложения. Мое приложение связано с VendHQ API, и я собираюсь получить некоторые данные из VendHQ через их webhook. Согласно их Documentation Когда происходит событие и запускается webhook, отправьте POST запрос...
04 июля '15 в 20:08
9 отв.

codeigniter Ошибка CSRF: "Запрошенное действие не разрешено".

i включил опцию csrf_protection в файле конфигурации codeigniter и использовал функцию form_open() для создания моих форм. но когда я отправляю форму, эта ошибка возникает: The action you have requested is not allowed. Я сделал ответы, подобные эт...
19 янв. '14 в 11:23