csrf-protection 相关问题

跨站点请求伪造,也称为一键式攻击或会话骑行,缩写为CSRF(有时发音为sea-surf)或XSRF,是一种恶意利用网站,从而从用户传输未经授权的命令网站信任。与利用用户对特定站点的信任的跨站点脚本(XSS)不同,CSRF利用站点在用户浏览器中的信任。

允许在正文或标头中发送 CSRF 令牌是否存在安全风险?

大多数 CSRF 解决方案似乎坚持将 CSRF 令牌作为 POST 数据的一部分发送。 在我的情况下,发送的数据是 json,我不控制发送的内容(而且我不想开始我......

回答 4 投票 0

为什么 GET 请求没有 csrf

我读到,GET 请求不需要 CSRF,因为它们被认为是安全的。 然而,我能想到的一种情况是这样的攻击: 我读到,GET 请求不需要 CSRF,因为它们被认为是安全的。 但是我能想到的一种情况是这样的攻击: <img src="https://otherdomain.com/logout" /> 如果没有 CSRF,这会很糟糕。当然,可以要求注销路由来要求发布,但我经常看到它作为一个简单的 href 实现。 此外,为什么 GET 是安全的?他们仍然在响应中泄露数据...... 这是一种只写攻击。来自 CSRF 上的 OWASP 页面: CSRF 攻击的目标是导致服务器状态更改的功能,例如更改受害者的电子邮件地址或密码,或者购买某些东西。 强迫受害者检索数据对攻击者没有好处,因为攻击者没有收到响应,受害者却收到了。因此,CSRF 攻击针对的是状态更改请求。 只要 GET 请求不改变状态,它们对黑客来说就没有任何价值。 我认为您提供的注销示例可能会给用户带来不便,但对黑客没有实际危害,也没有实际好处。

回答 1 投票 0

如何配置 NGINX 以允许对 Spring Boot 应用程序进行 CSRF 保护

我正在尝试使用 NGINX 反向代理将我的 Spring Boot 应用程序与我的前端(即我的 Angular 7+ 应用程序)分开。 我的 Spring Boot 应用程序的版本是 2.0.3+.RELEASE 并且...

回答 1 投票 0

在 Spring Weblux 中禁用给定路径的身份验证和 csrf?

我想为除一个 url 之外的整个应用程序启用 oauth2。 我的配置: @EnableWebFluxSecurity 类安全配置{ @豆 有趣的安全WebFilterChain(http:

回答 2 投票 0

Symfony 4 - 如何在不构建表单的情况下添加 csrf 令牌?

我正在这里阅读教程 https://symfony.com/doc/current/form/csrf_protection.html 如何添加 csrf 令牌。它说要使用 表单结束() 在模板中。但这不起作用,给出错误: ...

回答 0 投票 0

ForbiddenError: invalid csrf token, express js.

我试着让csurf工作,但似乎发现了一些问题。目前的代码是这样的:index.ejs。

回答 2 投票 4

Google Re-Captcha 2可以阻止CSRF攻击吗?

跨站点请求伪造攻击会在受害者的会话上进行,以将恶意请求提交到受信任的站点。这里的备忘单将CAPTCHA描述为防止CSRF攻击的好方法。当我们...

回答 3 投票 6

servlet过滤器不允许加载应用程序资源

我正在尝试防止CSRF(跨站点请求伪造)。为了防止CSRF,我创建了过滤器,该过滤器将过滤每个请求。在按预期实现javax.servlet.Filter之后,过滤器会执行其...

回答 1 投票 0

如何生成和验证csrf令牌

什么是生成csrf令牌和验证的最佳方法。根据我的能力,即使您在“ post”表单中有一个隐藏的表单域,黑客也可以使用ajax来简单地获取该表单,请采取...

回答 1 投票 10

Codeigniter CSRF问题:CSRF请求和响应令牌不匹配

我花了很多时间来寻找解决这个问题的方法,但是没有运气,所以我希望有人可以帮助我。我启用了CSRF保护,并将csrf_regenerate设置为true(我想...

回答 1 投票 0

在Laravel 5中,如何为特定路由禁用VerifycsrfToken中间件?

我正在使用Laravel 5开发应用程序。我的应用程序已连接VendHQ API,我打算通过其Webhook从VendHQ获取一些数据。根据他们在事件发生时的说明文件...

回答 5 投票 27

在laravel 5中上传文件超过2M

我在laravel 5中有一个上传表单,我想发送一个大于2M的文件,并且我更改了php.ini以获得最大上传大小和发布大小,但是它也确实起作用!!当启用我的csrf时,我得到csrf令牌...

回答 2 投票 1

没有会话或数据库的安全CSRF保护?

我正在尝试对HTML登录表单实施安全的CSRF保护,我知道实现CSRF保护的最佳方法是在会话中存储随机csrf key,但我想将CSRF添加到我的登录和注册表...

回答 2 投票 5

错误:缺少CSRF令牌,hackathon-starter加上AngularJS

我正在将AngularJS整合到hackathon starter中。 这是我在这里用以下test.html和test.controller.js提到的 te...

回答 1 投票 4

laravel 5.4保护API路由,防止前端和后端之间的来宾访问

我正在开发另一个在前端使用AngularJS的应用程序,并将Laravel用作RESTful后端。 该应用程序正在从API中为访问该站点的访客提取一些信息。 ...

回答 1 投票 0

如何解决CSRF令牌无效

错误CSRF令牌无效。请尝试重新提交表格。此错误有时以symfony2形式出现,但刷新后成功保存了形式。此错误不是频繁的...

回答 1 投票 2

ColdFusion的CSRF XSS攻击防范

我在尝试阻止CSRF攻击实施的csrfGenerateToken和csrfVerifyToken功能。我已经建立了网页标题与这些:一套X-XSS-保护“1;模式=块”总是...

回答 1 投票 3

CSRF修复节点JS在页面级

我看着在节点JS GIT中毂例如CSRF执行,并想知道这是一个应用级。如果我想它适用于应用中的一个或两个页面。我没有发现任何...

回答 1 投票 0

仅针对单个方法删除csrf令牌 - Laravel

我正在使用paytabs支付网关api。在该api中,必须提供重定向URL,以便在事务完成后,页面将自动重定向到您指定的重定向URL。网址......

回答 3 投票 3

CSRF令牌与会话中的不匹配(Rails 4.1)

我们在Rails 4.1应用中看到了一个不幸的,可能是基于浏览器的CSRF令牌真实性问题。我们将其发布在这里,询问社区是否也有人看到它。请注意...

回答 1 投票 8

© www.soinside.com 2019 - 2024. All rights reserved.