禁用 cookie 时处理 CSRF 保护
如果未启用 cookie,表单发布将抛出 ActionController::InvalidAuthenticityToken。大多数情况下,我只是用一条消息来处理异常,指出登录我的应用程序…
SWFUpload 与 Django 1.2 csrf 问题
我正在尝试使用 SWFUpload 将文件上传到 Django。找到这篇文章Django with SWFUpload。但发现一个问题。在 Django 1.2 中,csrf 需要在每次表单提交时…
使用 JQuery 提交表单时返回 struts2 invalid.token
我继承了一些代码,现在必须在其中添加 CSRF 预防,并尝试使用 struts2 tokenSession 拦截器来执行此操作。我使用 struts2 令牌标记向表单添加令牌,…
ValidateAntiForgeryToken Salt 值的运行时加载
考虑一个在 [ValidateAntiForgeryToken] 指令中使用 Salt 参数的 ASP.NET MVC 应用程序。 该应用程序将被许多客户使用。在编译时就知道 Salt 并不是非…
django:升级到 1.2 CSRF 后,尽管我没有启用 CSRF 保护,但会引发 403
我刚刚升级到 Django 1.2,正在尝试运行我的项目。登录后,我发现 Forbidden (403) CSRF verification failed. Request aborted. 这很奇怪,因为我之…
在 Google App Engine 上运行的 GWT 应用程序是否受到 CSRF 保护
我正在开发一个在 Google App Engine 上运行的 GWT 应用程序,想知道我是否需要担心跨站点请求伪造,或者这是否会自动为我处理? 对于每个需要身份验…
MVC 2 AntiForgeryToken - 为什么采用对称加密 + IP原则?
我们最近将解决方案更新为 MVC 2,这更新了 AntiForgeryToken 的工作方式。不幸的是,这不再适合我们的 AJAX 框架。 问题在于,MVC 2 现在使用对称加…
PHP - CSRF - 如何使其在所有选项卡中工作?
最近几天我读到了如何防止 CSRF 攻击。我将在每个页面加载中更新令牌,将令牌保存在会话中,并在提交表单时进行检查。 但是,如果用户在我的网站上打…
为什么在 Web 应用程序中禁用 REFRESH 是个好主意(出于安全目的)
我们正在对我们的代码进行 XSRF 修复。我们使用会话令牌来请求令牌比较方法来实现这一点。如果会话令牌不等于请求令牌,我们将重定向到错误页面。 问…
GWT RPC - 它是否足以防范 CSRF?
更新:GWT 2.3 引入了更好的机制来对抗 XSRF 攻击。请参阅 http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf。 设置两个自定义…
客户端生成双重提交cookie,防止跨站请求伪造
在双重提交cookie csrf防范方案中,服务器是否需要提供cookie? 看来我可以让客户端页面上的javascript生成并设置一个cookie“anti_csrf”,然后双重…
HtmlUnit 登录(发布表单)到启用 csrf 的网站
我正在使用 HTMLUnit webClient 通过输入用户名和密码来发布表单,但它无法让我登录。当我研究时发现他们在发布请求上启用了 csrf,因此需要本机 Web …
