Описание тега csrf-protection
Cross-site request forgery, also known as a one-click attack or session riding and abbreviated as CSRF (sometimes pronounced sea-surf) or XSRF, is a type of malicious exploit of a website whereby unauthorized commands are transmitted from a user that the website trusts. Unlike cross-site scripting (XSS), which exploits the trust a user has for a particular site, CSRF exploits the trust that a site has in a user's browser.
1
ответ
Ложная опция csrf_protection не работает при создании формы
Я следовал этому примеру, чтобы отключить защиту csrf в форме, сгенерированной в моем actionController: http://www.craftitonline.com/2011/08/symfony-2-how-to-disable-csrf-on-a-per-form-basis/ Итак, у меня есть это действие: public function contactAc…
12 ноя '13 в 21:18
1
ответ
Как вы предотвращаете CSRF-атаки от клиентов без файлов cookie в ASP.NET Web API?
Я делаю сервис ASP.NET Web API 2 в качестве RESTful API для поддержки мобильных приложений. Проблема заключается во всех статьях в Интернете о CSRF, включая: Предотвращение взлома CSRF в ASP.NET Web API Предотвращение подделки межсайтовых запросов с…
04 июл '14 в 11:58
1
ответ
Как получить и отправить _token со страницы html при отправке запроса формы в приложение laravel 5
У меня есть приложение с клиентской частью, написанное на HTML и Angularjs, и серверное на Laravel 5. Каждый раз, когда я отправляю свою форму, я отправляю модели, используя $http к маршруту в моем приложении Laravel 5, но я по-прежнему имею ошибку …
20 апр '15 в 10:45
2
ответа
GroceryCRUD добавить, кнопки редактирования не работают при включении защиты CodeIgniter CSRF
Я использую GroceryCRUD 1.5.0 с CodeIgniter 2.2.0. При включении внутренней защиты CSRF CodeIgniter с помощью: $config['csrf_protection'] = TRUE; в application/config/config.php, тогда автоматически генерируемые кнопки действий GroceryCRUD (редактир…
27 мар '15 в 16:55
0
ответов
RangeError при реализации JavaScript CSRFGuard с EJS
Конфигурация в бэкенде для csrfguard успешно завершена. Токен генерирует (это модифицированный javascript и он правильный): /** update nodes in DOM after load **/ addEvent(window,'unload',EventCache.flush); addEvent(window,'load', function() { injec…
07 сен '17 в 13:11
1
ответ
Как токены CSRF защищаются от вредоносного GET с последующим POST в другой вкладке
Я знаю, что что-то упустил, но, пожалуйста, помогите мне понять. Рассмотрим ситуацию: у меня есть веб-сайт goodbank.com. URL http://goodbank.com/transfer/ содержит HTML-страницу на GET с формой для перевода денег на другой счет. Форма имеет случайны…
15 май '13 в 18:32
1
ответ
TokenMismatchException в VerifyCsrfToken.php строка 67 в laravel 5.2
Я сгенерировал новый ключ, используя команду "php artisan key:generate". Уже добавьте токен csrf {!! csrf_field()!!} на блейд-странице под form.but все еще ошибка происходит.
09 май '16 в 05:57
2
ответа
Как работает защита Symfony2 CRSF?
Я пытаюсь протестировать систему защиты CRSF от Symfony2, большое им спасибо.мой шаблон security.yml:(я изменил шаблон по умолчанию.) security: firewalls: dev: pattern: ^/(_(profiler|wdt)|css|images|js)/ security: false login: pattern: ^/demo/secure…
10 сен '14 в 13:51
2
ответа
Защита Django CSRF заставляет установить заголовок "Vary: Cookie", который приводит к неэффективному кешу
CjrfViewMiddleware от Django устанавливает заголовок "Vary: Cookie", это означает, что система кэширования будет учитывать не только URL страницы, но и файлы cookie пользователя, уникальные для каждого пользователя. Таким образом, страницы не кэширу…
12 авг '15 в 07:48
1
ответ
Заглушка protect_from_forgery в rspec для API-спецификаций
Я создаю API для своего приложения Rails и хотел бы защитить его от CSRF-атак, используя protect_from_forgery, Я пишу спецификации запросов для ApiControllerи хотел бы написать спецификации для ответа, который я получаю, когда CSRF в запросе недейст…
01 фев '16 в 19:11
2
ответа
Включение CSRF на Синатре
Кажется, нет документации о том, как включить защиту CSRF с помощью Rack::Protection в Sinatra для форм. Кто-нибудь когда-либо делал это? Я не могу понять, как сказать Синатре, чтобы включить это.
01 сен '14 в 06:34
0
ответов
Ошибка несоответствия токена CSRF при переходе по ссылкам из электронной почты
Приложение было разработано в веб-API. Мы используем проверку токена AntiForgery для всех вызовов POST на xyz.com. Зарегистрированные пользователи xyz.com получают уведомления по электронной почте о содержимом, на которое они подписаны. Пользователи…
12 янв '16 в 03:04
0
ответов
При отправке действительного токена csrf отсутствует токен CSRF
Я получаю csrfTokenMissingException, даже когда я отправляю действительный токен csrf при отправке весенней формы. Сценарий заключается в том, что когда я перезагружаю сервер приложений и сразу нажимаю на конкретную ссылку "abc", это вызывает исключ…
05 июл '17 в 07:22
1
ответ
Как разрешить внешнему API отправлять POST, не отключая protect_from_forgery?
Я использую Rails 4.1.0. Я нахожусь в проекте, где мои возможности очень ограничены. Мне нужно, чтобы форма отправляла данные во внешний API. Я сохранил значения формы в сеансе, потому что это приложение основано на нескольких формах. Проблема заклю…
25 апр '14 в 00:15
1
ответ
Есть ли способ зарегистрировать, что кто-то совершил CSRF-атаку на веб-приложение?
Я понимаю, как работает CSRF, почему он работает и как его смягчить. теперь у меня есть веб-приложение, оно уязвимо для CSRF, и я хочу знать, успешно ли кто-то совершил атаку CSRF на мое веб-приложение. Есть ли способ войти, если есть CSRF Спасибо С…
26 сен '12 в 10:21
3
ответа
@csrf не работает в Laravel 5.4
Я следую этому руководству по Laravel и заметил, что не могу использовать команду @csrf, но другие могут использовать ее эффективно. Но я могу использовать {{ csrf_field() }} для токена csrf. Я хотел бы знать причину почему. Благодарю. Вот мой скрин…
22 июн '18 в 11:31
0
ответов
CSRF - Referer при выполнении ajax-запроса из расширения Chrome с помощью Django Backend
Я использую последние версии Django и Django Rest Framework. Мое веб-приложение предоставляет API, который в настоящее время используется только внешним интерфейсом. Я нахожусь в процессе создания расширения Chrome, используя те же маршруты API. Ког…
05 сен '17 в 10:09
0
ответов
Изменение -reinitialize- токена CSRF в vaadin
В настоящее время я работаю над усилением безопасности проекта Vaadin и застрял в токене CSRF. Основная идея заключается в том, что у меня есть sessionID до входа в систему пользователя и изменение SessionID после успешного входа в систему, чтобы из…
14 июн '18 в 07:26
0
ответов
Защита CSRF вызывает ошибку "Неверный или неожиданный токен"
Я пытаюсь интегрировать защиту CSRF в мои формы, и я начал с моей регистрационной формы, которая начала работать до того, как были добавлены токены CSRF, но теперь просто выдает ошибку "Неверный или неожиданный токен". Вот моя текущая форма: <for…
09 ноя '16 в 17:41
3
ответа
Защита токена CSRF с использованием cookie
Рекомендуется ли сохранять токен csrf в файле cookie или лучше использовать скрытое поле в форме? Также хорошо ли восстанавливать токен csrf при каждом запросе пользователя, например, что делают капчи? Спасибо
22 июл '13 в 04:12