这是安全漏洞、XSS 还是 CSRF?
假设我的 javascript 发出了一个 ajax 请求,并且在回调函数中执行了 eval(response_text) 操作,而不检查 response_text 中的任何内容。 有些东西告…
jQuery Ajax 调用和 Html.AntiForgeryToken()
我已经按照我阅读的信息在我的应用程序中实施了对 CSRF 攻击 的缓解措施在互联网上的一些博客文章上。特别是这些帖子是我实施的驱动力 ASP.NET MVC 最…
Rails csrf 令牌生命周期
我使用 Rails request_forgery_protection 机制来保护我的 POST 操作免受 CSRF 攻击,并使用验证码来保护 GET 操作。这样,如果有人在一个会话中发起…
JSF1.2 内置了 CSRF 保护吗?
我已经使用 CSRFtester 工具测试了 JSF 应用程序,该工具没有报告任何 CSRF 问题。但我在“OWASP_Top_10_2007_for_JEE.pdf”中读到,所有 Java EE Web…
Django 中的 CSRF 错误;如何将 CSRF 添加到我的登录视图?
我有一个简单的表单,希望用户能够登录;这是带有 CSRF 标签的模板代码: <html> <head><title>My Site</title></head> <body&…
Django ajax文件上传问题csrf
我正在尝试使用 django 进行 ajax 文件上传。我试图使这个示例正常工作 http://www.johnberns.com/2010/07/08/using-valums-jquery-ajax-upload-with-…
Django——IE 上 IFrame 的 CSRF 失败。无法访问策略修复的父服务器标头
我在 IE 中的 iframe 上遇到 CSRF 验证失败的问题。 我了解到,如果我可以使用 这个问题。不幸的是,我无权访问父页面(第三方主机平台),所以这不起…
在提供 AJAX 或 Flash 请求时避免 CSRF
我有一个基于 Flash 的浏览器游戏,它将用户的分数发送到 php 后端脚本,该脚本将分数和用户 ID 存储在数据库中。 现在我有一个像 www.example.com/up…
CSRF 可以在没有 Cookie 的情况下实现吗?
我对此进行了一段时间的研究,但没有找到任何东西可以满足我的好奇心。如果禁用 cookie,作为用户是否有可能成为 CSRF 攻击的受害者。显然,CSRF 依赖…
XSRF 保护 GET .net mvc
我有一个会显示敏感信息的网站。我正在使用防伪造令牌等来防止 POSTS 中的 XSRF。但是我担心有人能够通过 GET 查看敏感信息。在 .Net MVC 2 中保护通…
为什么 Django 管理员登录给我 403 CSRF 错误?
我正在运行 Django 1.2.2,当我尝试登录 Django 管理员时收到以下错误: 禁止 (403) CSRF 验证 失败的。请求已中止。 失败原因: 没有 CSRF 或会话 co…
有哪些 HTML 表单攻击媒介?
我开始研究 HTML 表单安全性。到目前为止,我的研究揭示了三种主要的攻击媒介: 跨站点请求伪造 (CSRF) 跨站点脚本 (XSS) SQL 注入 我的问题是:HTML …
富文本编辑,防止嵌入javascript代码
我使用著名的 symfony 框架制作了一个网站。我想为其添加丰富的编辑功能。我找到了TinyMCE编辑器。但出现了一个问题:用户在内容中嵌入一些 javascrip…
