csrf 相关问题

Cross Site Request Forgery是一种利用网站对用户浏览器的信任的恶意攻击。

Rails 6 CSRF 令牌过期问题

我们在生产环境中遇到表单提交问题。 该标准似乎异常罕见,我无法复制该问题。 CSRF 令牌已创建并验证...

回答 2 投票 0

JWT(XSS)与 Cookie(CSRF)?

我是一家初创公司的 Python 后端开发人员。最近,我被要求构建 API 的身份验证系统,我使用 FastAPI 框架实现了基于令牌的身份验证机制(JWT)...

回答 1 投票 0

如何在SpringBoot 2.7中配置CSRF Token

我们正在使用 SpringBoot 2.7 构建一个简单的应用程序,但遇到了 CSRF 令牌设置问题。用户操作(POST 请求)返回 403 禁止。它包含在 AWS ecs 集群中...

回答 1 投票 0

跨站点请求伪造预防:使用 cookie 作为同步器令牌模式

用于 CSRF 预防的同步器令牌模式的 OWASP 描述(此处)指出: 对于同步令牌模式,不应使用 cookie 传输 CSRF 令牌。 我的理解...

回答 1 投票 0

前端如何获取后端生成的CSRF token?

我正在开发一个Web应用程序的后端API(使用Spring Boot)。 API 使用 JWT 令牌对用户进行身份验证。我有一个用于注册帐户的端点(POST /注册)。 因为它是一个

回答 1 投票 0

由于跨源错误,无法在 Django CMS 中编辑任何内容

大约三个月前,我将旧的 Django 和 CMS 应用程序升级到(当时)最新的 LTS 版本(Django 4.2.3,django-cms 3.11.3)。升级后,当我

回答 1 投票 0

CSRF 403 禁止 - 无效的 CSRF 令牌

我遇到 Node Express 和 CSurf 问题 - 403(禁止)无效的 csrf 令牌。查看其他答案并尝试通过搜索找到的所有内容,我只是无法得到 p...

回答 2 投票 0

如何使用 ITP 跟踪 Safari IFrame 中 OpenID Connect 的状态?

LTI 1.3 等最新规范使用(IdP 发起的)OpenID Connect 来验证工具。在 LTI 中,这些工具通常在不同域的 iframe 中运行。理论是整个

回答 1 投票 0

如何解决 KeyError: 'A Secret key is required to use CSRF.' 错误在 Flask 应用程序中使用 wtform 时?

我一直在尝试使用 Flask 和 wtforms 以及 firebase 数据库构建一个 Web 应用程序,但我不断收到错误消息“KeyError: '需要使用 CSRF 的密钥。'”,我不知道如何到

回答 5 投票 0

csrf_exempt 所有回调均为 true

我为 django Rest api 创建了一些自定义中间件,以强制设置自定义标头的 CSRF 安全策略。我对 CsrfViewMiddleware 进行了子类化并重写了一些方法来满足我的需求...

回答 1 投票 0

Spring security CSRF 保护和基于 JWT 的授权

我一直在试图找出如果我的(spring boot 3.1.x)应用程序中有一个oauth2授权流程,如果没有CSRF保护,它会多么容易受到攻击。据我看来,这种授权方式...

回答 1 投票 0

防止 CSRF,无需所有形式的隐藏输入

我想知道是否可以将crsf令牌放在元标记或其他东西上,然后在我的服务器上访问它。这确实会简化流程并使其更加透明。我只是不...

回答 3 投票 0

是否真的可以使用自定义 HTTP 标头来防止 CSRF,因为浏览器会阻止网站将自定义 HTTP 标头发送到另一个网站?

今天在研究CSRF,发现了下面这句话: 自定义 HTTP 标头可用于防止 CSRF,因为浏览器 阻止网站将自定义 HTTP 标头发送到另一个网站,但

回答 1 投票 0

CORS 中的 POST/GET 与 PUT/DELETE

我刚刚读到了这个: 同源策略允许使用 GET 和 POST 的跨源 HTTP 请求 方法,但拒绝源间 PUT 和 DELETE 请求 PUT/DELETE 有什么特别之处?为什么他们

回答 1 投票 0

CSRF 令牌与会话 Cookie

AFAIK,我们将 CSRF 定义为安全漏洞,恶意攻击者通过使用各种脚本,在未经用户同意的情况下,使用户执行特定于用户的操作。比如我们的马尔...

回答 1 投票 0

实现 Oauth2 身份验证的最佳位置 - Angular 或 Spring boot

我们的团队目前分为在 Angular 端或服务器端进行 Oauth2 身份验证(使用第三方身份提供商)(我们可能在服务器端有一个中间层,例如** pr...

回答 1 投票 0

CSRFTOKEN 未在隐身模式下定义

我正在开发一个应用程序,后端在 django 上,前端在 React 上。我现在面临的问题是csrftoken。我所有的表单都是使用普通浏览器提交的,但如果我使用

回答 1 投票 0

使用laravel和nextjs调用axios出错

我使用 Laravel 作为后端,NextJs 作为前端。问题出在发送表格时 我从服务器收到以下响应: 错误 正确获取csrf token,...

回答 1 投票 0

如何在Jmeter中获取csrf token用于登录

我正在尝试页面的登录方案,但由于每次运行测试时都会生成 csrf_token 和其他动态参数,因此出现错误。我如何获得这些 csrf...

回答 1 投票 0

“双重提交 Cookie”的变体,用于防止 CSRF 攻击

通过以下简单的方法可以有效防止CSRF攻击: 在前端为每个请求生成一个 UUID 通过 cookie 和请求标头将此 UUID 发送到后端。

回答 1 投票 0

© www.soinside.com 2019 - 2024. All rights reserved.