csrf- все статьи тега ➜ страница 0
Googlebot вызывает недопустимый запрос перекрестного происхождения (COR) на Rails 4.1
Как предотвратить появление этой ошибки в Google во время обхода сайта? Я не заинтересован в отключении "protect_from_forgery", если это не безопасно. [fyi] method=GET path=/users format=*/* controller=users action=show status=200 duration=690.32 view=428.25 db=253.06 time= host= user= user_agent=Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) session= params={""} () [hmm] Security warning: an embedded <script> tag on another site requested protected JavaScript. ...
помощью jQuery AJAX-вызовы и HTML.AntiForgeryToken()
я реализовал в своем приложении смягчение до CSRF атакует после информации, которую я прочитал на некоторых блогах в интернете. В частности, эти сообщения были драйвером моей реализации лучшие практики для ASP.NET MVC от ASP.NET и Web Tools Developer Content Team Анатомия атаки подделки межсайтового запроса от Фила Хаака блог AntiForgeryToken в ASP.NET MVC Framework-Html.Атрибут AntiForgeryToken и ValidateAntiForgeryToken из блога Дэвида Хейдена в основном в этих статьях и рекомендациях го ...
Ошибка проверки Django CSRF с запросом Ajax POST
я мог бы использовать некоторую помощь в соответствии с механизмом защиты CSRF Django через мой пост AJAX. Я следовал указаниям здесь: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я скопировал пример кода AJAX, который они имеют на этой странице точно: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax я поставил предупреждение печать содержимого getCookie('csrftoken') до xhr.setRequestHeader звонка и его действительно заполняется некоторыми данными. Я не уверен, как прове ...
Где хранить JWT в браузере? Как защитить от КСРФ?
Я знаю проверку подлинности на основе файлов cookie. Флаг SSL и HttpOnly может быть применен для защиты аутентификации на основе файлов cookie от MITM и XSS. Однако для его защиты от КСРФ потребуются более специальные меры. Они просто немного сложнее. (ссылка) недавно я обнаружил, что JSON Web Token(JWT) довольно горячий как решение для аутентификации. Я знаю материалы о кодировании, декодировании и проверке JWT. Однако, я не понимаю, почему некоторые веб-сайты / учебники не говорят о необходим ...
rails - "предупреждение: не удается проверить подлинность токена CSRF" для запросов на разработку json
Как я могу получить токен CSRF для передачи с запросом JSON? Я знаю, что по соображениям безопасности Rails проверяет токен CSRF для всех типов запросов (включая JSON/XML). я мог бы поставить в мой контроллер skip_before_filter :verify_authenticity_token, но я бы потерял защиту CRSF (не рекомендуется :-) ). этот аналогичный (все еще не принятый) ответ предлагает получить маркер с <%= form_authenticity_token %> в вопрос как? Нужно ли мне сначала позвонить на любую из моих страниц, ...
Django Rest Framework удалить csrf
Я знаю, что есть ответы относительно Django Rest Framework, но я не мог найти решение своей проблемы. у меня есть приложение, которое имеет аутентификации и некоторые функциональные возможности. Я добавил новое приложение к нему, которое использует Django Rest Framework. Я хочу использовать библиотеку только в этом приложении. Также я хочу сделать запрос POST, и я всегда получаю этот ответ: { "detail": "CSRF Failed: CSRF token missing or incorrect." } у меня есть следующий код: # urls.p ...
Как предотвратить CSRF в приложении RESTful?
подделка межсайтовых запросов (CSRF) обычно предотвращается одним из следующих методов: Проверьте referer-спокойный, но ненадежный вставьте токен в форму и сохраните токен в сеансе сервера-не очень RESTful загадочный один раз URIs-не успокоительный по той же причине, что и токены отправить пароль вручную для этого запроса (не кэшированный пароль, используемый с http auth) - RESTful но не удобно моя идея состоит в том, чтобы использовать секрет пользователя, загадочный, но статический идентифи ...
"Срок действия страницы истек из-за бездействия" - Laravel 5.5
моя страница регистрации показывает форму правильно с CsrfToken ({{ csrf_field() }}) представить в форме). форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Я использую встроенную аутентификацию для пользователей. Ничего не изменилось, кроме маршрутов и переадресаций. когда я отправляю форму (сразу после перезагрузки также), она дает это срок действия страницы исте ...
Как правильно добавить токен CSRF с помощью PHP
Я пытаюсь добавить некоторую безопасность в формы на моем сайте. Одна из форм использует AJAX, а другая-это простая форма "свяжитесь с нами". Я пытаюсь добавить токен CSRF. Проблема, с которой я сталкиваюсь, заключается в том, что токен появляется только в HTML "value" некоторое время. В остальное время значение пусто. Вот код, который я использую в форме AJAX: PHP: if (!isset($_SESSION)) { session_start(); $_SESSION['formStarted'] = true; } if (!isset($_SESSION['token'])) {$token = md5(u ...
Rails: как работает метатег csrf?
Я PHP-разработчик, изучающий Ruby on Rails, читая учебник Майкла Хартла. Вот цитата из книги, относящаяся к csrf_meta_tag: ...метод рельсов csrf_meta_tag [препятствует] межсайтовых запросов подделка (CSRF), тип вредоносной веб-атаки. Не беспокойтесь о детали (я не знаю); просто знаю, что Rails упорно работает, чтобы сохранить ваш приложение защищено. дело в том, что мне действительно любопытно. Как вводить csrf-param и csrf-token мета-теги предотвращают CSRF? Я попытался погуглить, н ...