csrf

    0熱度

    1回答

    我正在嘗試撥打REST(對SAP Netweaver API方法)。 該API要求隨呼叫一起發送CSRF令牌。 當手動使用REST客戶端,我可以發送一個請求獲得令牌(使用HTTP GET包含標題"X-CSRF-Token: Fetch"而另一個含有用於基本認證編碼的憑證(「授權:基本」。) 響應包含與CSRF令牌的標頭。 在第二個電話,我公司提供的令牌頭"X-CSRF-Token: <token>

    0熱度

    2回答

    我正在使用codeigniter框架中的項目啓用CSRF的文件上傳。代碼在localhost中工作正常,但在服務器上不起作用。 每當我試圖選擇圖片/文件上傳並提交表格,它顯示CSRF「請求是不允許的錯誤」,當提交表單時沒有選擇圖片/文件,它工作正常。 我已經在配置文件中

    -1熱度

    1回答

    基本上這個代碼打印真: /** * Deletes myentity. * * @Route("/{id}", name="myentity_delete") * @Method("DELETE") */ public function deleteAction(Request $request, MyEntity $entity) { $form = $this->crea

    0熱度

    2回答

    我正在開發一個應該非常安全的java web應用程序,因此我在SSL服務器上啓用了CSRF的spring security和spring MVC;我使用POST提交所有表單,併成功提交生成的CSRF令牌,但是有些頁面具有GET方法,如果有攻擊者從任何瀏覽器打開任何頁面的源代碼,他可以在Form標記中看到生成的CSRF令牌,那麼他可以使用它會發布任何內容到我們的網站,只要該會話在用戶攻擊下處於活動狀

    0熱度

    1回答

    你好, 我試圖阻止我的Web應用程序從CSRF。我跟着這個鏈接 鏈接https://dzone.com/articles/preventing-csrf-java-web-apps.To在Java中實現這種機制我選擇使用兩個過濾器,一個爲每個請求創建令牌/ salt,另一個爲驗證它。由於用戶請求以及後續的應該驗證的POST或GET並不一定按順序執行,因此我決定使用基於時間的緩存來存儲有效鹽串列表。

    0熱度

    2回答

    我的服務器產生一個csrfToken,其被插入到以下元件: <input type="hidden" name="_csrf" value="{{_csrfToken}}"> 的{{_csrfToken}},用於模板,但在運行時被替換在與實際令牌服務器。 <div class="formContainer"> <form class="form-horizontal signupfo

    3熱度

    1回答

    我已將應用程序擴展到使用常用mysql和redis服務的3個不同服務器。比我已經設置會話和緩存驅動程序我的redis(他們工作正常)。但我仍然得到令牌不匹配錯誤。有沒有人解決這個問題,而不關閉CSRF保護? 我正在使用Docker。

    0熱度

    1回答

    我瘋了,試圖找出如何爲我的Web應用實現CSRF保護。我已經閱讀了大量的頁面,但仍不能決定在我的特定環境中的解決方案。 因此,首先我的Web應用程序是用Angular編寫的,靜態部署在Apache服務器上。它調用我的服務器上的一些服務,Java類型,部署在應用程序服務器上的一場戰爭中。他們都部署在同一個域中。認證後,通常的會話cookie(secure + HttpOnly)在響應中設置。 現在,

    1熱度

    1回答

    在同步標記模式,服務器產生隨機的令牌,該令牌必須由每個表單提交由客戶提出的。客戶如何才能瞭解在服務器中創建的CSRF令牌?

    2熱度

    1回答

    我嘗試使用以下代碼在我的AngularJS/Django應用程序中發送csrf令牌。 $rootScope.CSRFToken包含從Cookie對象收到的令牌值。所有其他服務工作正常使用Ajax,但是當我打電話通過懸浮窗的服務,用頭,它給人的錯誤Server responded with 403 code. 這是怎麼了,我在配置懸浮窗: $scope.dzOptions = { url