csrf-protection

    1熱度

    1回答

    CSRF同步令牌

    在同步標記模式,我總是看到在一個隱藏字段或URL的CSRF令牌。將它附加到ajax post請求的末尾並讓服務器決定是否需要使用它是否安全?如果這是爲什麼人們不這樣做?
    csrf csrf-protection 2016-11-18

    0熱度

    1回答

    CSRF攻擊:你能用javascript來修改用戶代理頭嗎?

    假設我使用用戶代理頭來查看使用哪個瀏覽器(如果有)以幫助我抵禦潛在的CSRF攻擊。雖然我知道有大量的CSRF防禦措施不需要用戶代理標題,但我只想知道用戶代理標題的安全性 - CSRF攻擊者是否可以將其修改爲任何他希望的內容? 我知道起源頭和參照標頭是從這樣的修改很好的保護,因爲它們是forbidden headers。然而,用戶代理標題看起來不是。 這是否意味着一個CSRF攻擊者可以平凡改變Use
    javascript jquery security csrf csrf-protection 2016-11-21

    0熱度

    1回答

    如何爲某些測試啓用VerifyCsrfToken?

    Laravel默認爲disablesVerifyCsrfToken中間件如果正在運行測試。因此我沒有注意到api路由需要csrf令牌才能成功。有沒有辦法讓它恢復一些測試?像 function withVerifyCsrfTokenMiddleware() { $this->app... // here we're passing something to the app } ,並
    php laravel automated-tests csrf-protection 2016-11-23

    1熱度

    2回答

    的ActionController :: InvalidAuthenticityToken採用後僅

    Rails的5我有一個簡單的應用程序,我使用Rails 5.0.0.1(應用程序被調用SimpleTest的 - 它是那樣簡單,因爲我可以把它),以圖出一些東西在Rails 5.我得到一個奇怪的錯誤。 這裏的config/routes.rb中 Rails.application.routes.draw do root "foo#bar" get "dobaz" => "foo#
    ruby-on-rails ruby session ruby-on-rails-5 csrf-protection 2016-11-29

    0熱度

    2回答

    Form.method中的CSRF問題(asp.net SPA)

    我在使用HP fortify進行掃描時遇到了CSRF問題。 jQuery.fn.downloadContentUsingServerEcho = function (fileName, contentType, contentEncoding, content) { //// test //$.ajax({ // type: 'POST', // u
    asp.net csrf csrf-protection fortify 2016-11-30

    2熱度

    1回答

    Spring Boot CSRF

    試圖在最新的Spring Boot上實現CSRF保護。 互聯網上的所有例子都基於用戶登錄和身份驗證,我不需要這些。 我的網站沒有任何要求驗證的部分。 我想 1) Rest requests come from within site. No direct request from outside with wget to be allowed. 2) All pages (routes) must
    spring-boot csrf-protection 2016-12-02

    0熱度

    1回答

    OWASP CSRFGuard:需要令牌從請求

    我試圖保護利用OWASP CSRFGuard我的應用程序丟失,所以我以這種方式配置的web.xml文件: <!-- ********* FILTERS for Preventing CSRF ********* --> <listener> <listener-class>org.owasp.csrfguard.CsrfGuardServletContextListener</lis
    java tomcat java-ee csrf-protection owasp 2016-12-06

    0熱度

    1回答

    X-Requested-With header的可能值是多少?

    x-requested-header對我來說有點令人困惑。我知道它可以用來抵禦CSRF攻擊,並且它被用來識別Ajax調用...但是它究竟是什麼? 它只是告訴你什麼請求是......請求? 能不能有一個合理的情況,其中標題存在但設置爲「XMLHttpRequest」以外的某個值?我會這樣想,但我從來沒有見過它設置爲其他任何東西。
    security web csrf csrf-protection 2016-12-06

    1熱度

    1回答

    IdentityServer4中的CSRF保護

    IdentityServer4是否具有開箱即用的CSRF保護功能,還是我們需要配置任何以啓用/加強它的功能?我已經看到在/connect/authorize和/signin-oidc之間傳遞的值「state」,但我不確定是否足夠。如果重要的話,我們使用沒有同意頁面(內部應用程序)和ASP.NET MVC OIDC的混合流。
    oauth-2.0 asp.net-core-mvc openid-connect csrf-protection identityserver4 2016-12-07

    2熱度

    1回答

    是否需要在服務器端生成反XSRF/CSRF令牌?

    幾乎所有關於反CSRF機制的文檔都聲明應該在服務器端生成CSRF令牌。不過,我想知道是否有必要。 我想要實現反CSRF在下列步驟操作: 沒有服務器端生成的CSRF令牌; 在瀏覽器端,在每個AJAX或表單提交中,我們的JavaScript會生成一個隨機字符串作爲標記。在實際的AJAX或表單提交發生之前,該令牌被寫入cookie csrf;並將令牌添加到參數_csrf。 在服務器端,每個請求都應該有餅
    security web csrf csrf-protection 2016-12-14
最新問題