Cross Site Request Forgery ist ein böswilliger Angriff, um das Vertrauen einer Website in den Browser eines Benutzers auszunutzen.
Ich schreibe eine Anwendung (Django, das passiert auch) und möchte nur eine Vorstellung davon haben, was ein "CSRF-Token" eigentlich ist und wie es die Daten schützt. Sind die Post-Daten nicht sicher, wenn Sie keine CSRF-Token
Ich versuche, das ganze Problem mit CSRF und geeignete Möglichkeiten zu verstehen, um es zu verhindern. (Ressourcen, die ich gelesen habe, verstehe und mit denen ich einverstanden bin: OWASP CSRF Prevention Cheat Sheet , Fragen zu CSRF .) Soweit ich weiß, wird die Sicherheitsanfälligkeit in Bezug...
Ich sende mit AJAX Daten von der Ansicht an den Controller und habe folgende Fehlermeldung erhalten: WARNUNG: Die Authentizität des CSRF-Tokens kann nicht überprüft werden Ich denke, ich muss dieses Token mit Daten senden. Weiß jemand, wie ich das machen kann? Edit: Meine Lösung Dazu habe...
Ich habe in meiner App die Abwehr von CSRF-Angriffen implementiert, nachdem ich Informationen in einem Blogbeitrag im Internet gelesen habe. Insbesondere dieser Beitrag war der Treiber meiner Implementierung Best Practices für ASP.NET MVC vom ASP.NET- und Web Tools Developer Content Team Anatomie...
Ich könnte über meinen AJAX-Beitrag Hilfe bei der Einhaltung des CSRF-Schutzmechanismus von Django gebrauchen. Ich habe die Anweisungen hier befolgt: http://docs.djangoproject.com/de/dev/ref/contrib/csrf/ Ich habe den AJAX-Beispielcode, den sie auf dieser Seite haben, genau
Ich habe Probleme mit dem AntiForgeryToken mit Ajax. Ich verwende ASP.NET MVC 3. Ich habe die Lösung in jQuery Ajax-Aufrufen und im Html.AntiForgeryToken () ausprobiert . Mit dieser Lösung wird das Token jetzt übergeben: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({...
Nach dem, was ich bisher gelernt habe, sollen Token verhindern, dass ein Angreifer eine Formularübermittlung fälscht. Wenn eine Website beispielsweise über ein Formular verfügt, in dem Artikel in Ihren Warenkorb eingegeben werden, und ein Angreifer Ihren Warenkorb mit Artikeln spammen kann, die...
Ich kenne die Cookie-basierte Authentifizierung. SSL- und HttpOnly-Flag können angewendet werden, um die Cookie-basierte Authentifizierung vor MITM und XSS zu schützen. Es sind jedoch weitere besondere Maßnahmen erforderlich, um sie vor CSRF zu schützen. Sie sind nur ein bisschen kompliziert. (...
Ich habe überall Artikel und Beiträge (einschließlich SO) zu diesem Thema gesehen, und der vorherrschende Kommentar lautet, dass die Richtlinie mit demselben Ursprung ein Formular POST über Domänen hinweg verhindert. Der einzige Ort, an dem ich jemanden gesehen habe, der vorschlägt, dass die...
Wenn die protect_from_forgeryOption in application_controller erwähnt wird, kann ich mich anmelden und alle GET-Anforderungen ausführen. Bei der ersten POST-Anforderung setzt Rails jedoch die Sitzung zurück, wodurch ich abgemeldet werde. Ich habe die protect_from_forgeryOption vorübergehend...
Ist es erforderlich, CSRF-Schutz zu verwenden, wenn die Anwendung auf einer zustandslosen Authentifizierung basiert (unter Verwendung von HMAC)? Beispiel: Wir haben eine App für eine einzelne Seite (andernfalls müssen wir das Token an jeden Link anhängen : <a
Ich weiß, dass es Antworten zum Django Rest Framework gibt, aber ich konnte keine Lösung für mein Problem finden. Ich habe eine Anwendung, die Authentifizierung und einige Funktionen hat. Ich habe eine neue App hinzugefügt, die das Django Rest Framework verwendet. Ich möchte die Bibliothek nur in...
Meine Registrierungsseite zeigt das Formular korrekt mit CsrfToken an ({{ csrf_field() }} ) im Formular vorhanden ist. Form HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Ich verwende...
Ich habe eine Rails-App, die einige APIs für eine iPhone-Anwendung bereitstellt. Ich möchte in der Lage sein, einfach auf einer Ressource zu posten, ohne darauf zu achten, das richtige CSRF-Token zu erhalten. Ich habe einige Methoden ausprobiert, die ich hier im Stackoverflow sehe, aber es scheint,...
Bei dieser Frage geht es nur um den Schutz vor Cross Site Request Forgery-Angriffen. Es geht speziell um: Ist der Schutz über den Origin-Header (CORS) so gut wie der Schutz über ein CSRF-Token? Beispiel: Alice ist mit ihrem Browser unter Verwendung eines Cookies unter " https://example.com "...
Ich versuche, den Formularen auf meiner Website etwas Sicherheit zu verleihen. Eines der Formulare verwendet AJAX und das andere ist ein einfaches "Kontakt" -Formular. Ich versuche, ein CSRF-Token hinzuzufügen. Das Problem, das ich habe, ist, dass das Token nur manchmal im HTML- "Wert" angezeigt...
Ist nach der Konfiguration von Spring Security 3.2 _csrf.tokennicht an eine Anforderung oder ein Sitzungsobjekt gebunden. Dies ist die Federsicherheitskonfiguration: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...
Ich habe Laravel 5.7 installiert Der Datei wurde ein Formular hinzugefügt \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Zur Datei hinzugefügt...
Ich erstelle einen Webdienst, der ausschließlich JSON für seine Anforderungs- und Antwortinhalte verwendet (dh keine formularcodierten Nutzdaten). Ist ein Webdienst für CSRF-Angriffe anfällig, wenn Folgendes zutrifft? Jede POSTAnfrage ohne ein JSON-Objekt der obersten Ebene, z. B.,...
Wie kann ich das CSRF-Token abrufen, das mit einer JSON-Anforderung übergeben werden soll? Ich weiß, dass Rails aus Sicherheitsgründen das CSRF-Token für alle Anforderungstypen (einschließlich JSON / XML) überprüft . Ich könnte meinen Controller einsetzen skip_before_filter...