为什么我们需要 csrftoken cookie 和 HTML 表单的隐藏输入的 csrfmiddlewaretoken 值?
我正在努力学习安全知识。我很好奇为什么在 Django 中提交表单(POST)时,有 2 个单独的元素包含相同的 csrf 令牌值: The csrftoken cookie: {' csr…
Facebook 的帖子“签名请求”中缺少 CSRF 令牌;
我正在处理 Django 项目。目的是从 Facebook 导入用户信息。首先,我使用 Facebook 提供的注册社交插件。我有一个基本模板,其中包括用于注册插件的 i…
使用 {% render_comment_form for ... %} 发布或预览时,CSRF 验证失败
我在 settings.MIDDLEWARE_CLASSES 中有 django.middleware.csrf.CsrfViewMiddleware 并且 CSRF 验证对于我的所有其他表单都工作得很好。 render_comm…
提交多部分表单数据时缺少 OWASP CsrfGuard 令牌
我已经在现有的 Struts 1.1 应用程序上实现了 OWASP CsrfGuard 3 过滤器,它对每个请求都工作良好,除了具有文件上传字段和 enctype="multipart/form-…
Django 1.3 中的 Ajax CSRF 问题
根据 django 文档,对于 1.3 中的 ajax post 请求(至少使用 Jquery),我们只需要添加此 片段 到主 js 文件。此代码片段从 cookie 中获取 csrftoken…
WCF 结果是否为 JSON +为了更好的安全性需要不可解析的curft?它是如何实施的?
我正在阅读有关此ajax 响应,描述了防止基于 Javascript 的攻击的方法。 将此技术应用于返回 JSON 的基于 WCF 的服务是否有意义? 这将如何在服务器端…
使用flatpages创建一个简单的facebook应用程序,但是由signed_request引起的CSRF问题
我正在尝试为客户的 Facebook 页面创建一个简单的、仅 html 的 Facebook 应用程序。我想使用 django 的平面页面,以便客户和他的员工可以通过其网站的…
Django 开发服务器的本地和远程机器 cookie 传递有什么区别?
我有一个 Django 1.2.5(稳定版本)网站,正在 Ubuntu 10.10 机器上开发和测试。开发盒位于 LAN 上,其中有一些 Windows 计算机也需要能够查看和测试…
接受跨站点 XHTMLRequest 的站点应该始终需要 XSRF 安全性?
如果服务器接受跨站点 XHTMLRequests (access-control-allow-origin),那么服务器不应该强制实施针对跨站点请求伪造 (CSRF) 的保护吗?…
获取每个页面上包含的 templatetag 的 RequestContext
我有一个生成表单的模板标签,因此需要 {% csrf_token %} 来保证安全,而这又需要一个 RequestContext 对象而不是标准的 Context对象。 现在,相关的…
使用 csrf 令牌和模板上下文渲染模板
目前我正在使用以下语法渲染 HTML 视图: t = loader.get_template('sometemplate.html') c = Context ({ 'title': title, 'content': conent, }) ret…
PHP 安全性使用 POST 而不是 GET 来防范 XSRF?
我的应用程序中有一些像 http://mysite.com/module/45/set_name/new-name 这样的 URL,旨在使用 ajax 进行访问。 为了防止 XSRF,我强制此类请求为 PO…
什么是 CSRF 代币?它的重要性是什么?它是如何运作的?
我正在编写一个应用程序(Django,确实如此),我只想了解“CSRF 令牌”实际上是什么以及它如何保护数据。 如果不使用CSRF token,发布的数据会不安全…
