csrf-protection

1熱度

1回答

Tomcat支持將一個令牌附加到URL的CSRF過濾器。這是不是暴露了令牌？看起來這不是一個安全的解決方案。我對麼？

4熱度

1回答

我正在開發一個Rails 5 api項目，移動客戶端使用此項目進行授權，授權爲gem devise_token_auth。我很清楚警告的含義。 1號問題：CSRF保護應該被關閉的API（JSON/XML）響應，是否正確？我在網上搜索了一些似乎CSRF只發生在使用cookie的web應用程序上。要記住，XML或JSON請求也受到影響是很重要的>，如果你正在構建的API，你應該改變默認防僞保

0熱度

1回答

JWT令牌存儲在角JS中

將JWT令牌存儲在角JS本地，會話存儲或cookie中。如果Cookie那麼容易出現CSRF。如何避免它。

1熱度

1回答

我是否應該使用針對CSRF的輸入來保護div

我想澄清我不是安全專家，不是我是道德或黑帽黑客，或者與安全性領域有什麼關係，我知道在創建網頁時採取措施保護表單不受跨站點請求僞造「CSRF」的影響，但在某些情況下，可以使用包含輸入元素和按鈕或可點擊div的div元素來完成確切的工作。通常編碼剃刀頁面使用 @Html.Antiforgerytoken() 裏面的形式聲明，將針對CSRF在ASP.NET被保護的形式問題是什麼時候：是有用還是會

1熱度

1回答

爲什麼CSRF錯誤會在Rails應用程序中一夜之間出現？

我知道CSRF保護是什麼，我知道它如何在Rails應用程序的上下文中工作，並且我知道如何「解決」我的問題，例如通過禁用它。但是，我想保持打開CSRF保護。我的問題是，什麼會導致錯誤： Can't verify CSRF token authenticity 出現通宵？沒有任何東西被推到生產中（即不是代碼問題，而且我沒有使用Devise）。仍然使用尚未更新的相同瀏覽器（桌面版Chrome）。使用相

0熱度

1回答

在網站POST請求中阻止CSRF

爲了防止CSRF攻擊，我需要重新表達一個web應用程序（沒有標記庫的jsp）。我不能使用這裏描述的算法，但我認爲nonce id對我來說是最好的解決方案：https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs 應用這些參數非常昂貴，因爲我必須更改所有調用請求（爲

0熱度

2回答

Rails中需要protect_against_forgery嗎？

我一直在閱讀Rails安全性幾個小時，現在我對CSRF機制有點困惑。在我看來，爲了打開它，你需要使用protect_against_forgery函數。我在一個大的應用程序（Rails3.2-4）中工作，似乎無法在代碼庫中找到它的任何用處。仍然CSRF機制似乎在： protect_against_forgery? # true Rails在這件事上的正式答案是什麼？我們需要明確設置還是自動設

1熱度

2回答

偷CSRF令牌堆棧溢出

我讀過其他的問題，但沒有找到一個明確的回答這個問題：什麼阻止攻擊者通過JS來竊取用戶的CSRF令牌？他不能僅僅找到CSRF元素並且用JS獲得它的價值嗎？我不是很熟悉的JS，但也許這樣的事情： document.getElementById("csrft_token").value

0熱度

1回答

reactjs/redux + django CSRF保護

我想從我的reactjs前端發出一個AJAX請求到我的django後端，但是我在POST時收到這個錯誤。我不知道如何正確地傳遞CSRF令牌圍繞我的表單POST到正常工作 Forbidden (CSRF token missing or incorrect.): /api/contact [05/Nov/2016 03:43:14] "POST /api/contact HTTP/1.1" 403

0熱度

1回答

基於Spring MVC安全令牌的身份驗證

任何人都可以請幫助我。我已被分配來保護現有的Web應用程序。問題：當用戶已經登錄到應用程序（這意味着會話是活動的），那時攻擊者可以猜測輸入字段並保存url並創建一個類似的頁面併發送超級鏈接。如果用戶點擊該鏈接，它將不會通過JavaScript，而是會觸發彈簧控制器。由於會話處於活動狀態，因此會將攻擊者數據保存到數據庫中。這是我們現在使用的。 1）春季安全 <http auto-config