PHP - CSRF - 如何使其在所有选项卡中工作?
最近几天我读到了如何防止 CSRF 攻击。我将在每个页面加载中更新令牌,将令牌保存在会话中,并在提交表单时进行检查。 但是,如果用户在我的网站上打…
为什么在 Web 应用程序中禁用 REFRESH 是个好主意(出于安全目的)
我们正在对我们的代码进行 XSRF 修复。我们使用会话令牌来请求令牌比较方法来实现这一点。如果会话令牌不等于请求令牌,我们将重定向到错误页面。 问…
GWT RPC - 它是否足以防范 CSRF?
更新:GWT 2.3 引入了更好的机制来对抗 XSRF 攻击。请参阅 http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf。 设置两个自定义…
客户端生成双重提交cookie,防止跨站请求伪造
在双重提交cookie csrf防范方案中,服务器是否需要提供cookie? 看来我可以让客户端页面上的javascript生成并设置一个cookie“anti_csrf”,然后双重…
HtmlUnit 登录(发布表单)到启用 csrf 的网站
我正在使用 HTMLUnit webClient 通过输入用户名和密码来发布表单,但它无法让我登录。当我研究时发现他们在发布请求上启用了 csrf,因此需要本机 Web …
如何将 Zend Framework 表单哈希(令牌)与 AJAX 结合使用
我已将 Zend_Form_Element_Hash 包含到表单 multiplecheckbox 表单中。我将 jQuery 设置为在单击复选框时触发 AJAX 请求,我通过此 AJAX 请求传递令牌…
允许视频嵌入时需要注意哪些 XSS/CSRF 攻击(如果有)?
我被分配了一个网站项目,允许用户上传视频(使用 YouTube API),但更重要的是(对我来说)他们还可以提交视频嵌入代码(来自众多视频网站、YouTube…
如何在 RESTful 应用程序中防止 CSRF?
通常使用以下方法之一来防止跨站请求伪造 (CSRF): 检查引用者 - REST 风格但不可靠 将令牌插入表单并将令牌存储在服务器会话中 - 不是真正的 REST 风…
我是否面临以不需要用户登录的 POST 形式进行 CSRF 攻击的风险?
我可能是个菜鸟,但我仍然不确定 CSRF(跨站请求伪造)攻击到底是什么。那么让我们看看三种情况... 1) 我有一个 POST 表单,用于编辑网站上的数据。我…
使用 MVC2 的 AJAX 请求中的 CSRF 保护
我正在构建的页面很大程度上依赖于 AJAX。基本上,只有一个“页面”,并且每次数据传输都是通过 AJAX 处理的。由于浏览器端过度乐观的缓存会导致奇怪…
Django 将 CSRF 令牌输出为对象而不是值
我在 Django 中以简单的 POST 形式处理 CSRF 令牌。该模板生成以下 CSRF 输出,而不是输出令牌的值: <input type='hidden' name='csrfmiddlewareto…
使跨站请求伪造令牌在 Rails 中存活更长时间
在我制作的应用程序中,我收到了很多这样的消息: A ActionController::InvalidAuthenticityToken occurred in items#vote_up: ActionController::Inv…
通过在会话变量和表单中存储随机数来实现 CSRF 保护
为了防止 CSRF,您应该将随机数放入表单的隐藏字段、cookie 或会话变量中。但是,如果用户在不同的选项卡中打开多个页面怎么办?在这种情况下,每个选…
