Вопросы по теме 'csrf'

Как предотвратить атаку с подделкой межсайтовых запросов (XSRF / CSRF) с использованием перезаписи URL?
CSRF / XSRF можно предотвратить с помощью ряда методов. Один из способов - использовать токен, уникальный для клиентского сеанса, при каждом запросе, отправляемом клиентом на сервер; который проверяется на стороне сервера. Если токен запроса и...
2790 просмотров
url-rewriting security csrf
schedule 19.03.2022
Обработка защиты CSRF при отключенных файлах cookie
Без включенных файлов cookie сообщение формы будет выдавать ActionController::InvalidAuthenticityToken . По большей части я просто обрабатываю исключение сообщением о том, что файлы cookie необходимы для входа в мое приложение. Тем не менее,...
678 просмотров
ruby-on-rails cookies csrf
schedule 12.06.2024
Защита XSRF GET .net mvc
У меня есть сайт, на котором будет отображаться конфиденциальная информация. Я использую токены Anti Forgery и т. Д. Для защиты от XSRF в POSTS. Однако меня беспокоит, что кто-то сможет просматривать конфиденциальную информацию из GET. Какова...
236 просмотров
get security csrf asp.net-mvc-2
schedule 03.02.2022
время жизни токена csrf rails
Я использую механизм Rails request_forgery_protection для защиты своих действий POST от CSRF-атак и капчу для защиты действий GET. Таким образом, если кто-то проводит двухэтапную атаку в течение одного сеанса, получая форму с текущим токеном, а...
1930 просмотров
ruby-on-rails security csrf
schedule 06.02.2022
Защита от CSRF с Symfony
Я не могу найти документацию Symfony для активации защиты CSRF в существующих формах (без защиты). Я установил csrf_protection с токеном и т. д., но формы не работают, и я предполагаю, что что-то нужно для правильной работы.
1082 просмотров
php csrf symfony1
schedule 12.06.2022
CSRF: Могу ли я использовать куки?
Можно ли поместить токен CSRF в файл cookie? (и в каждой форме, как скрытый вход, так что я могу проверить, совпадают ли они, конечно) Я слышал, как кто-то сказал, что это превосходит всю цель токена, хотя я не понимаю, почему. Мне кажется...
21791 просмотров
security cookies csrf
schedule 01.04.2024
Как предотвратить автоматические атаки AJAX
Как запретить ПОЛЬЗОВАТЕЛЮ делать автоматические публикации / спам? Вот мой способ сделать это, новый сеанс php для каждого запроса страницы, который имеет свои собственные ограничения, без многозадачности. Я использовал новую сессию для...
3784 просмотров
mysql php security csrf
schedule 31.07.2023
CodeIgniter + jQuery UI autocomplete = 500 внутренняя ошибка сервера (с кодом) из-за того, что CSRF установлен в TRUE
Вот код просмотра: <html> <head> <script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.5/jquery.min.js"></script> <!-- Load JQuery UI --> <script...
4277 просмотров
php jquery csrf codeigniter
schedule 12.12.2022
CodeIgniter CSRF и локальный хост
В настоящее время я работаю локально (myhostname.local), чтобы начать проект разработки в CodeIgniter, и я пытаюсь выполнить простую отправку формы входа в систему, и защита CSRF не работает. Я получаю сообщение об ошибке: Произошла ошибка...
4110 просмотров
php csrf codeigniter
schedule 18.06.2022
Ошибка CSRF заголовка WWW-аутентификации
Я слышал от друга, что заголовок WWW-Authenticate может быть явно определен во вредоносном php-файле на удаленном сервере и использовать MIME-тип изображения, например. image/jpeg или image/png . Гипотетическая ситуация Скажем, этот...
329 просмотров
php security http-headers csrf www-authenticate
schedule 18.03.2024
Почему заголовок X-CSRF-Token моего пользователя отличается от _csrf_token в сеансе?
Для очень небольшого числа пользователей (которые делают законные запросы) на моем сайте заголовок X-CSRF-Token, отправленный с их запросами AJAX, отличается от _csrf_token в их сеансе (хранилище файлов cookie) (и остальная часть их сеанса кажется...
902 просмотров
ruby-on-rails jquery csrf
schedule 22.03.2023
Предотвращение CSRF при использовании RequestFactory GWT
Я только что начал портировать свой код GWT-RPC на новый механизм RequestFactory . Чтобы предотвратить подделку межсайтовых запросов (CSRF), мой код GWT-RPC захватил идентификатор сеанса, который был сохранен в файле cookie, и включил его в...
1424 просмотров
csrf gwt requestfactory
schedule 25.07.2023
Использование CSRF-защиты Django для представлений, кэшированных Varnish
У меня есть представление Django с формой, использующей защиту CSRF. Я хочу, чтобы это представление кэшировалось Varnish при обычном запросе GET (поскольку всем пользователям нужна одна и та же форма, без входа в систему). Итак, есть две задачи:...
4905 просмотров
django varnish csrf
schedule 27.04.2023
Метатеги CSRF по умолчанию в Rails не проверяются
Я только что проверил новый сайт, новый сайт, который я написал с использованием Rails 3 с проверкой разметки W3C, и я получаю ошибки о тегах CSRF, которые генерирует рельсы. "Неверное значение csrf-param для имени атрибута в метаэлементе:...
2382 просмотров
csrf ruby-on-rails-3 w3c-validation
schedule 30.04.2024
Django CSRF для HTTP и HTTPS
У меня есть блог, который работает как по протоколу HTTP, так и по HTTPS, и у меня возникают проблемы с проверкой токена csrf. Токен CSRF доступен в каждой форме, как и должно быть, но когда я использую HTTP-версию сайта и пытаюсь зафиксировать...
2408 просмотров
django https csrf django-csrf
schedule 04.12.2023
Как защитить в основном статическое веб-приложение?
Я сам учусь веб-разработке. До недавнего времени мои приложения просто взаимодействовали со сторонними API, такими как Twilio, без пользовательского интерфейса. Мне нравится CherryPy, потому что он достаточно прост и не мешает мне. Я хотел бы...
448 просмотров
security csrf xss cherrypy
schedule 13.10.2022
Сомнение в профилактике CSRF
У меня было одно сомнение по поводу профилактики CSRF. Многие сайты говорят, что CSRF можно предотвратить, используя «токены», которые генерируются случайным образом за сеанс. Теперь я сомневаюсь, предположим, у меня есть такая функция, как:...
676 просмотров
csrf csrf-protection
schedule 20.09.2023
Дизайн Rails API без отключения защиты от CSRF
Еще в феврале 2011 года Rails был изменен на требование токена CSRF для все запросы, отличные от GET , даже для конечной точки API. Я понимаю объяснение того, почему это важное изменение для запросов браузера, но это сообщение в блоге не дает...
22448 просмотров
ruby-on-rails api csrf
schedule 02.04.2022
Действие Cron Kohana и предотвращение CSRF
Мне нужно вызвать действие Kohana через cron. Я могу использовать этот код, чтобы ограничить только IP-адрес сервера: $allowedIps = array('127.0.0.1','::1'); if(in_array($_SERVER['REMOTE_ADDR'],$allowedIps)) Нужна ли мне защита от CSRF,...
243 просмотров
cron csrf kohana
schedule 07.07.2023
Джанго {% csrf_token %} или @csrf_protect
Мне любопытно: я знаю, что в Django есть 2 способа защиты csrf: {% csrf_token %} в шаблонах и @csrf_protect в представлениях. Так вот вопрос: взаимозаменяемы ли они? Я имею в виду, что я могу использовать, например, только @csrf_protect в...
4481 просмотров
django csrf protection django-csrf
schedule 16.03.2024