为了安全起见,将 GET 与 tokenID 结合使用是一个好主意吗?
我正在考虑这个,看来只发布不太容易受到攻击,但有些困难(要求用户单击某些内容)。 我读到了有关令牌 id 和双重提交 cookie 的信息,但我不确定有…
将 CSRF 保护与 RESTful API 结合起来有哪些可行的技术?
我有兴趣了解人们在为其 Web 应用程序构建 RESTful(或准 RESTful)API 时采取的方法。 一个实际的例子: 假设您有一个传统的基于浏览器的 Web 应用程…
CSRF 中间件 - 更改 csrf_token 输出(从 xHTML 到 HTML)
我的 django csrf 中间件有问题...... 当我使用模板标签 csrf_token 时,我得到这个输出: <div style='display:none'><input type='hidden' na…
如何解决 ASP.Net MVC 应用程序中 iisreset 后发生的 AntiForgeryToken 异常?
我在 ASP.Net MVC 中遇到 AntiForgeryToken 问题。如果我在我的 Web 服务器上执行 iisreset 并且用户继续其会话,他们会跳到登录页面。并不可怕,但是…
使用ajax提交数据时检测到CSRF攻击
我试图在 symfony 1.4 中使用 jquery 提交表单,但每次都会弹出 CSRF 攻击检测到的错误。这是我用来提交表单数据的代码: $.ajax({ type: 'post', cac…
为什么随机 CSRF 密钥可以防止 CSRF 攻击?
为了防止CSRF攻击,随机CSRF 秘密已生成。 以上来自 symfony: http://www.symfony-project.org/ getting-started/1_4/en/04-Project-Setup 既然最终…
如何防止利用图片URL进行跨站请求伪造攻击?
来自ha.ckers.org/xss.html: IMG 嵌入式命令 - 这有效 当这个网页所在的时候 注入(如网页板)在后面 密码保护和该密码 保护与其他命令一起使用 在同…
如何防止涉及嵌入式 iframe 的 CSRF/XSRF 攻击?
有没有办法限制 iframe 在父级中可以执行的操作?我正在寻找的是围绕 Javascript 的安全模型,看起来像: ... <script type="text/javascript" src=…
响应中不存在 RequestVerificationToken cookie
我的 ASP.NET MVC 应用程序通过使用 ValidateAntiForgeryToken 属性并调用 Html.AntiForgeryToken 以使用令牌值写入隐藏输入元素并将令牌放入 cookie …
REST 和 CSRF(跨站请求伪造)
针对无状态 RESTful 服务是否可以进行跨站点请求伪造? 我不是在谈论伪 REST,服务器会记住您是通过 cookie 登录的。我说的是没有 cookie 的纯服务器…
Django 错误:无法导入 csrf.py
我的 Django 应用程序突然开始崩溃,我不明白为什么。我现在甚至无法让它运行。我正在运行修订版 11798。 当我使用独立服务器测试我的应用程序时,它…
如何使用 Rails AuthenticityToken 基础设施显式保护 GET 操作
Rails AuthenticityToken 自动保护 POST/PUT/DELETE 请求免受 CSRF 攻击。但我想到了另一个用例。 我在我的网站上展示了一个视频,但我不想将其嵌入到…
Rails、OAuth 和 CSRF 保护
我正在使用 REST 和 OAuth 与 Rails 应用程序对话(来自 iPhone 应用程序,但这应该不相关)。但是,我遇到了 Rails 的 CSRF 保护(通过 protects_fro…
