如何以安全的方式读取和写入 OData 调用? (例如,不容易受到 CSRF 的影响吗?)
打开 OData 读取/GET 端点,没有 CSRF 攻击的风险,例如 我还没有查看源代码,但是 MSFT 是如何做到的ODATA 库 在这方面与 jQuery 进行比较:…
如何在允许用户发布外部图片的同时防止XSS注入
一位用户最近向我报告,他们可以利用通过论坛提供的 BBCode 标签 [img]。 [img=http://url.to.external.file.ext][img] 当然,它会显示为损坏的图像,…
使用 JavaScript 动态 XSRF
我只是想知道是否可以进行 xsrf 攻击: ... fields+submit button ... 使用 javascript - 就像: 攻击者让我访问他的网站 ,然后他使用 GET /admin/us…
在HTTP GET中使用MVC3的AntiForgeryToken来避免Javascript CSRF漏洞
关于这个被黑客攻击的博客,我对实施提议的反 JSON 犹豫不决GET 劫持解决方案,因为 减轻 JSON 劫持的建议解决方案涉及使用非 REST 完整 JSON POST 获…
AntiForgeryToken 是如何工作的
我试图防止 CSRF 并有两种情况: 从另一个站点内执行 POST,当我启用 AntiForgeryToken 时它会失败 我尝试从我的“恶意”Javascript(在另一个站点上…
这对于 CSRF 保护来说足够了吗?
这对于 CSRF 保护来说是否足够: 生成一个随机字符串,$_SESSION['hash'] 将其存储在 一个隐藏值(在 $_POST['thing'] 中)表单包含随机字符串 提交表…
如何在 Grails 中防范 XSRF?
如何在 Grails 中防范 XSRF 攻击。我看到表单支持 useToken 的概念(我认为应该足够了)。但是,remoteForm 或其他 AJAX 相关请求不支持此功能。 另外…
什么时候不需要/不需要使用 AntiForgeryToken?
UPD:在 security.stackexchange.com 和我得到的答案是不同的。请关注这里,以获得正确答案! 我正在运行一个相当大的网站,每天有数千次访问,并且有…
在 OpenID iframe 中实施 CSRF
我已经在我的 Codeigniter 2.0 网站上实现了 Janrain Open ID。在我在 codeigniter 配置文件中启用 CSRF 保护之前,它一直运行良好。 我阅读了它,似…
如何在 Rails 3 中为 Facebook 画布应用绕过 protected_from_forgery?
我有一个 Rails 3 Facebook 画布应用程序。当它加载时,它会给我一个无效的真实性令牌错误,并显示 Facebook 发送到我的应用程序的 signed_request 参…
