由于浏览器会阻止访问其他站点的 cookie,因此单独使用访问令牌是否可以防止 CSRF 攻击?
我是网络安全新手,当我了解 CSRF 时,我有一个非常简单的问题: 假设我们有这样的场景: 在网络浏览器上,我访问一个普通网站(称为网站 A)并使用凭…
如何防范CSRF攻击?
Closed. This question needs to be more focused. It is not currently accepting answers. 想要改进这个问题吗?通过编辑这篇文章来更新问题,使其…
Rails 使用移动应用程序来保护免受伪造
我正在 Rails 上构建一个应用程序,并且我的 application.rb 中有 protect_from_forgery。我还为移动应用程序构建了一个 RESTful API,以便使用 JSON …
Rails - “警告:无法验证 CSRF 令牌的真实性”对于 json 设备请求
如何检索 CSRF 令牌以通过 JSON 请求传递? 我知道出于安全原因 Rails 正在检查所有请求类型(包括 JSON/XML)的 CSRF 令牌。 我可以放入我的控制…
如何对使用 ValidateAntiForgeryToken 的网站进行负载测试?
我想在一个对多个 HttpPost 使用 ValidateAntiForgeryToken 的网站上执行负载测试。但是,正如您所期望的,当我运行负载测试脚本时,我收到了许多 500…
未提供所需的防伪令牌或该令牌无效
@using (Html.BeginForm("Create", "Posts", FormMethod.Post, new { id = "publish" })) { @Html.AntiForgeryToken("Posts/Create") } [HttpPost] [V…
令牌验证方法如何防止 asp.net mvc3 中的 CSRF
我读到了如何使用 在隐藏字段中生成加密值,该值还将与作为会话 cookie 存储在用户浏览器中的另一个值相匹配。 但我的问题是:- 1.会话cookie中的值也…
防止自定义 AJAX 表单提交中的 CSRF
我问这个问题关于使用 Drupal 7 的 Forms API 的原因,而不是自己处理表单提交请求并最终调用像 node_save() 或comment_save()。虽然使用 Forms API …
django csrf_token不打印隐藏的输入字段
我的 views.py : from django.core.context_processors import csrf from django.views.decorators.csrf import csrf_protect from django.http impo…
CSRF 令牌丢失或不正确(我知道,之前已被问过!)
这两天在 Google、stackoverflow 和 docs.djangoproject.com 上寻找 CSRF 问题的解决方案。 免责声明,我是 Django 的初学者,正在阅读这本书Django …
更改表单哈希(令牌)过期 Zend Framework
我正在使用 ZF 的 Zend_Form_Element_Hash 来保护我的表单免受 CSRF 的侵害。 然而问题是生成的令牌过期太快。我猜问题出在会话生命周期上,因为那是…
POST 请求后 Rails form_authenticity_token 未重新生成
我的印象是 Rails 会在执行任何 POST、PUT 或 DELETE 操作后重新生成 form_authenticity_token。但由于某种原因,在成功 POST 到用户资源后,form_aut…
Django CSRF 失败 - 失败的可能原因有哪些?
当CSRF正确实现时,对于普通用户(非黑客)来说,CSRF失败的原因是什么? 我认为原因之一是 cookie 被禁用。 浏览器/计算机设置中是否存在其他可能导…
PHP ::: 安全 SESSION_ID ::: 没有 CSRF?
使用这个: function nonce($str,$expires){ return sha1(date('Y-m-d H:i',ceil(time()/$expires)*$expires).$_SERVER['REMOTE_ADDR'].$_SERVER['HTT…
