在会话中没有状态的情况下身份验证会起作用吗?
我看到类似的问题 Facebook 身份验证示例 CSRF 他们说“生成了哈希(或状态)”由您对网络服务 (Facebook) 的每个请求存储在您的服务器上的会话中,该…
Symfony2 表单通过 JQuery AJAX 传递 CSRF
我正在开发一个评论框,它将通过 JQuery AJAX 调用保存评论。 JQuery 下面是 JQuery 代码(可以无缝运行): $(".post-comment").click(function() { …
CSRF 状态令牌与提供的 FB PHP SDK 3.1.1 Oauth 2.0 不匹配
我的服务器日志显示“CSRF 状态令牌与提供的令牌不匹配”错误,这似乎几乎每个用户都会发生。但是,用户已创建和/或经过身份验证,并且我能够检索用户…
HttpAntiForgeryException 被视为 403 和 500,具体取决于是否启用自定义错误
最近,我们在 ASP.Net MVC 3 中开发的网站上实现了 CSRF 保护。 使用一些混杂的技术,我们有了一个可行的解决方案。 但是,我们的应用程序错误处理部…
在 Express 中生成 _csrf?
我是新手。我正在使用一个浏览器插件来访问我的节点服务器,并且需要 csrf 令牌。 我所拥有的没有生成任何东西: app.use(express.csrf()); app.dynam…
Rails API 身份验证 - 健全性检查和建议
我想创建一个 Rails 应用程序,它公开一个仅由授权客户端应用程序(将是 iOS / android 的移动应用程序)使用的 API。我还没有开始开发该应用程序,但…
为什么codeigniter2不以更安全的方式(例如会话)存储csrf_hash?
为什么生成的 CSRF 保护令牌没有像建议的那样通过 SESSION 保存和使用 这里?目前在 CI2 中,CSRF 保护机制(在 Security 类中)是这样的: 1. 在 _cs…
客户端 iPhone 应用程序中的 Rails CSRF 令牌
我正在规划一个主要通过 API 通过客户端应用程序公开的 Web 应用程序。我尝试从 iPhone 客户端向概念验证应用程序发出一些请求,但不断收到 CSRF 令牌…
Codeigniter AJAX CSRF 保护
我在后端使用 codeigniter 。 最近我听说了“CSRF”一词,并决定保护请求。 我网站上的几乎所有操作都是通过 Ajax 和 Ajax 进行的。有时我使用 DOM 操…
为每个用户生成不同AntiForgeryToken的方法是什么
我正在使用带有 Razor 视图引擎的 MVC3。 我需要为每个用户生成不同的 AntiForgeryToken。 我正在考虑生成一个唯一的盐值,并在用户注册时将其存储在…
knockoutjs 和 csrf
防止对 knockout.js 应用程序进行 csrf 攻击的标准方法是什么?没有任何表单可以通过隐藏的 csrf 字段发送给客户端。在运行包含该令牌的新帖子/请求之…
Recurly JS 在发布时删除会话数据
我正在我的 Rails 应用程序上设置 Recurly JS。为了访问 current_order 或 current_user,我将它们的 id 存储在会话中。然而,当 Recurly JS 发布到我…
