Pertanyaan yang diberi tag «csrf»

Saya sedang menulis aplikasi (Django, itu terjadi) dan saya hanya ingin tahu apa sebenarnya token "CSRF" itu dan bagaimana melindungi data. Apakah data posting tidak aman jika Anda tidak menggunakan token CSRF?

629 csrf 

Saya mencoba memahami seluruh masalah dengan CSRF dan cara yang tepat untuk mencegahnya. (Sumber yang telah saya baca, pahami, dan setujui dengan: Lembar Cegah Pencegahan CSRF OWASP , Pertanyaan tentang CSRF .) Seperti yang saya pahami, kerentanan sekitar CSRF diperkenalkan oleh asumsi bahwa (dari sudut pandang server web) cookie sesi …

284 security  cookies  web  csrf  owasp 

Saya mengirim data dari tampilan ke pengontrol dengan AJAX dan saya mendapat kesalahan ini: PERINGATAN: Tidak dapat memverifikasi keaslian token CSRF Saya pikir saya harus mengirim token ini dengan data. Adakah yang tahu bagaimana saya bisa melakukan ini? Sunting: Solusi saya Saya melakukan ini dengan meletakkan kode berikut di dalam …

238 ruby-on-rails  jquery  csrf 

Saya telah menerapkan mitigasi serangan CSRF di aplikasi saya mengikuti informasi yang saya baca di beberapa posting blog di internet. Khususnya posting ini telah menjadi pendorong implementasi saya Praktik Terbaik untuk ASP.NET MVC dari Tim Konten Pengembang ASP.NET dan Alat Web Anatomi Permintaan Lintas Situs Memalsukan Serangan dari blog Phil …

207 asp.net-mvc  ajax  asp.net-mvc-2  csrf  antiforgerytoken 

Saya dapat menggunakan beberapa bantuan yang sesuai dengan mekanisme perlindungan CSRF Django melalui pos AJAX saya. Saya telah mengikuti petunjuk di sini: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Saya telah menyalin kode sampel AJAX yang mereka miliki di halaman itu dengan tepat: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Saya memasang peringatan mencetak konten getCookie('csrftoken')sebelum xhr.setRequestHeaderpanggilan dan memang diisi dengan beberapa …

180 python  ajax  django  csrf 

Saya mengalami masalah dengan AntiForgeryToken dengan ajax. Saya menggunakan ASP.NET MVC 3. Saya mencoba solusi di panggilan jQuery Ajax dan Html.AntiForgeryToken () . Menggunakan solusi itu, token sekarang sedang diteruskan: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", traditional: …

168 asp.net  ajax  asp.net-mvc  asp.net-mvc-3  csrf 

Dari apa yang saya pelajari sejauh ini, tujuan token adalah untuk mencegah penyerang memalsukan pengiriman formulir. Misalnya, jika situs web memiliki formulir yang memasukkan item tambahan ke keranjang belanja Anda, dan penyerang bisa mengirim spam keranjang belanja Anda dengan barang-barang yang tidak Anda inginkan. Ini masuk akal karena mungkin ada …

161 php  token  csrf 

Saya tahu otentikasi berbasis cookie. Bendera SSL dan HttpOnly dapat diterapkan untuk melindungi otentikasi berbasis cookie dari MITM dan XSS. Namun, tindakan yang lebih khusus akan diperlukan untuk diterapkan untuk melindunginya dari CSRF. Mereka sedikit rumit. ( referensi ) Baru-baru ini, saya menemukan bahwa JSON Web Token (JWT) cukup panas …

159 security  authentication  cookies  csrf  jwt 

Saya telah melihat artikel dan posting di seluruh (termasuk SO) tentang topik ini, dan komentar yang berlaku adalah bahwa kebijakan yang sama asal mencegah bentuk POST di seluruh domain. Satu-satunya tempat saya melihat seseorang menyarankan bahwa kebijakan asal yang sama tidak berlaku untuk membentuk pos, ada di sini . Saya …

145 html  security  http  csrf  same-origin-policy 

Jika protect_from_forgeryopsi tersebut disebutkan dalam application_controller, maka saya bisa masuk dan melakukan permintaan GET, tetapi pada permintaan POST pertama Rails me-reset sesi, yang mengeluarkan saya. Saya protect_from_forgerymematikan opsi untuk sementara, tetapi ingin menggunakannya dengan Angular.js. Apakah ada cara untuk melakukan itu?

129 ruby-on-rails  angularjs  csrf  protect-from-forgery 

Apakah perlu menggunakan Perlindungan CSRF ketika aplikasi mengandalkan otentikasi tanpa kewarganegaraan (menggunakan sesuatu seperti HMAC)? Contoh: Kami punya app halaman (jika tidak kita harus menambahkan tanda pada setiap link: <a href="...?token=xyz">...</a>. Pengguna mengautentikasi dirinya sendiri menggunakan POST /auth. Jika otentikasi berhasil, server akan mengembalikan beberapa token. Token akan disimpan melalui …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

Saya tahu bahwa ada jawaban mengenai Django Rest Framework, tetapi saya tidak dapat menemukan solusi untuk masalah saya. Saya memiliki aplikasi yang memiliki otentikasi dan beberapa fungsi. Saya menambahkan aplikasi baru ke dalamnya, yang menggunakan Django Rest Framework. Saya ingin menggunakan perpustakaan hanya di aplikasi ini. Saya juga ingin membuat …

112 django  django-rest-framework  csrf  django-csrf 

Halaman pendaftaran saya menunjukkan formulir dengan benar dengan CsrfToken ( {{ csrf_field() }}) hadir dalam formulir). Formulir HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Saya menggunakan otentikasi bawaan untuk pengguna. Tidak mengubah apa pun kecuali rute dan pengalihan. Ketika saya mengirimkan formulir (hanya …

111 php  laravel  csrf  laravel-5.5 

Saya memiliki aplikasi rel yang menyajikan beberapa API ke aplikasi iPhone. Saya ingin dapat memposting di sumber daya tanpa memikirkan untuk mendapatkan token CSRF yang benar. Saya mencoba beberapa metode yang saya lihat di sini di stackoverflow tetapi tampaknya metode tersebut tidak lagi berfungsi pada rel 3. Terima kasih sudah …

105 ruby-on-rails-3  csrf 

Pertanyaan ini adalah tentang melindungi dari serangan Pemalsuan Permintaan Lintas Situs saja. Ini secara khusus tentang: Apakah perlindungan melalui header Origin (CORS) sebaik perlindungan melalui token CSRF? Contoh: Alice masuk (menggunakan cookie) dengan browsernya ke " https://example.com ". Saya berasumsi, bahwa dia menggunakan browser modern. Alice mengunjungi " https://evil.com ", …

103 javascript  security  cors  csrf