如何在 Grails 中防范 XSRF?
如何在 Grails 中防范 XSRF 攻击。我看到表单支持 useToken 的概念(我认为应该足够了)。但是,remoteForm 或其他 AJAX 相关请求不支持此功能。 另外…
什么时候不需要/不需要使用 AntiForgeryToken?
UPD:在 security.stackexchange.com 和我得到的答案是不同的。请关注这里,以获得正确答案! 我正在运行一个相当大的网站,每天有数千次访问,并且有…
在 OpenID iframe 中实施 CSRF
我已经在我的 Codeigniter 2.0 网站上实现了 Janrain Open ID。在我在 codeigniter 配置文件中启用 CSRF 保护之前,它一直运行良好。 我阅读了它,似…
如何在 Rails 3 中为 Facebook 画布应用绕过 protected_from_forgery?
我有一个 Rails 3 Facebook 画布应用程序。当它加载时,它会给我一个无效的真实性令牌错误,并显示 Facebook 发送到我的应用程序的 signed_request 参…
Rails 2 ActionController::Base.session[:secret] 与 Rails 3 Main::Application.config.secret_token 是多余的吗?
Rails 2 ActionController::Base.session[:secret] 与 Rails 3 Main::Application.config.secret_token 是多余的吗? 我正在使用 activerecord 会话—…
Django 1.2 中还需要 {% csrf_token %} CSRF 保护标签吗?
我正在我的网站上测试 CSRF 保护,我发现了一些意外的情况。 我从表单中删除了 {% csrf_token %},提交仍然有效。我不明白为什么。然后我查看了源代码…
持续出现“CSRF 令牌丢失或不正确”。 Jinja 和 django 注册设置
我收到这条消息: CSRF 令牌丢失或不正确。 在大多数论坛中,都会告诉您以表单形式获取 {% csrf_token %},而我确实有。 我的settings.py中也有: TEM…
如何允许 a) 没有 CSRF 令牌的 HTTP 身份验证 + SSL 或 b) 需要 CSRF 令牌与设备?
我有一个 Rails 3 应用程序,使用在服务器上运行的设备配置了用户注册。我允许人们通过网站登录服务器,还允许人们创建帐户并使用 Iphone 应用程序登…
如果我免受 CSRF 的侵害,我就能免受垃圾邮件机器人的侵害吗?
我已经阅读了大量有关垃圾邮件预防的内容,这是一个不断被建议的明显解决方案: 使用令牌并将其放入会话中 并将其添加到表单中。如果 令牌未随表单一…
这是安全漏洞、XSS 还是 CSRF?
假设我的 javascript 发出了一个 ajax 请求,并且在回调函数中执行了 eval(response_text) 操作,而不检查 response_text 中的任何内容。 有些东西告…