-
1 votesanswersviews
存储“记住我”cookie和CSRF保护
我一直在读“记住我” Cookies 存储在“httpOnly”cookie中,因此JavaScript / XSS无法访问它们 . 但是,“httpOnly”cookie容易受到CSRF攻击,因为它们会自动与请求一起发送 . 为了缓解CSRF攻击,建议使用同步令牌模式(让服务器生成csrf令牌并与客户端进行交叉检查) . 我的问题是,如果可以使用“记住我”cookie,CSRF攻击(恶意Java... -
2 votesanswersviews
新标签页和浏览器窗口中的CSRF标记
我已经通过以下方式在我的nodejs服务器上实现了CSRF攻击防范 - 登录用户收到CSRF令牌和cookie(存储在cookie中的基于JWT的令牌) . CSRF令牌是使用 $.ajaxSetup 从客户端发送的所有未来请求标头的一部分 . 每当用户发出请求(GET或POST)时,我将客户端发送的cookie和csrf令牌(在 Headers 中)与我服务器上存储的令牌进行比较,并且应用程序... -
8 votesanswersviews
加密cookie中的会话ID(或其他身份验证值)是否有用?
在Web开发中,当启用会话状态时,会话ID存储在cookie中(在cookieless模式下,将使用查询字符串) . 在asp.net中,会话ID自动加密 . 互联网上有很多关于如何加密cookie的主题,包括会话ID . 我可以理解为什么要加密私人信息(如DOB),但任何私人信息都不应该存储在cookie中 . 因此,对于其他cookie值,例如会话ID,目的加密是什么?它会增加安全性吗?无论你... -
64 votesanswersviews
使用AngularJS进行身份验证,使用REST Api WS进行会话管理和安全性问题
我开始使用angularJS开发一个web应用程序,我不确定一切都是正确的安全(客户端和服务器端) . 安全性基于单个登录页面,如果检查完凭证,我的服务器会发回一个具有自定义时间有效性的唯一令牌 . 所有其他REST api都可以通过此令牌访问 . 应用程序(客户端)浏览到我的入口点ex:https://www.example.com/home.html用户插入凭据并接收回一个唯一令牌 . 此唯一... -
38 votesanswersviews
在基于浏览器的应用程序中保存JWT的位置以及如何使用它
我'm trying to implement JWT in my authentication system and I have a few questions. To store the token, I could use cookies but it'也可以使用 localStorage 或 sessionStorage . 哪个是最好的选择? 我已经读过JWT保护网站免受CSRF的侵... -
0 votesanswersviews
我应该如何比较JWT cookie的完整性
目前我正在使用nodejs制作个人博客 . 我的博客有登录系统,因为我想要一些有权写帖子的用户(但也许只有我) . 所以我决定使用JWT httpOnly cookie . 流动 . 当用户登录我的博客时,JWT Token将在服务器端生成如果用户数据在DB中 . 然后JWT令牌存储在cookie中 . 因此,每个请求都会将Authentication JWT cookie发送到服务器 . 在这种... -
0 votesanswersviews
CSRF漏洞利用和cookie
在CSRF的定义中我们有 跨站点请求伪造(CSRF)是一种攻击,它强制最终用户在当前对其进行身份验证的Web应用程序上执行不需要的操作 . 这意味着它适用于已经过身份验证的用户,该用户已经拥有用于登录用户面板的有效cookie . 但在我所见过的每一个csrf漏洞利用中都没有cookie部分或相关内容;例如,这个csrf漏洞利用: <html> <body> ... -
1 votesanswersviews
Cookie中的Angular JWT如何防止CSRF / XSRF和XSS
我正在学习Angular和Express,我正在尝试实现一个Login . 据我所知,最好将JWT存储在Cookies中,其中“secure:true”和“httpOnly:true”为: const jwtBearerToken = jwt.sign(...); res.cookie("SESSIONID", jwtBearerToken, {httpOnly:true, ... -
0 votesanswersviews
csrf使用AngularJS检查Tornado
我是AngularJS和Python Tornado的新手,目前正致力于CSRF / XSRF检查 . 我已经检查过“WebService.py”在 Headers 中返回“set-cookie”,而我第一次向“test_c”发送了一个GET请求,并且在我在浏览器中检查时创建了cookie . 但是,当POST请求发送到“test”时,Tornado会显示“POST中缺少'_xsrf'参数”错误.... -
1 votesanswersviews
角度注销后无法验证CSRF令牌的真实性
重复的步骤 登录登出从服务器登录并获取422无法验证CSRF令牌的真实性 宝石设计3.5.2devise_token_auth 0.1.36 根据其他线程,解决方案是在注销时返回一个新的csrf标记,然后在成功处理程序的客户端注销,将XSRF-TOKEN的cookie设置为接收的标记 . 我正在使用的代码如下 . 有人可以告诉我为什么它不起作用?最后一次登录请求看起来正在使用新令牌,因此有点像是从... -
7 votesanswersviews
Django 1.9 AJAX表单CSRF令牌403错误 - “未设置CSRF cookie”
我已经在SO上看到了很多,但没有什么能解决我的问题 . Problem: 启用CSRF中间件后,Django在AJAX表单请求上响应403,说明: “未设置CSRF cookie . ” 在documentation之后,实现了一个JS功能,它设置了自定义 "X-CSRFToken" 标头 . 它按预期工作,从浏览器获取 "csrftoken" coo... -
1 votesanswersviews
CSRF令牌设置和Angular 6 http调用Django Endpoint的段落
我正在和Angular 6应用程序对Django endpoints 进行POST调用 . 收集,设置和传递所需CSRF令牌/ cookie的当前首选方法是什么?现在我收到的错误消息说: 禁止(403)CSRF验证失败 . 请求中止 . 尝试进行HTTP调用的代码很简单: export class EmailService { constructor(private http: HttpCli... -
0 votesanswersviews
CSRF的POST请求在Postman中有效,但在cURL中失败
我向REST API发出POST请求以上传文件 . 在邮递员一切正常 . 我添加了从服务器获取的基本授权和自定义CSRF(XSRF)令牌 . 我想用cURL做同样的事情 . 我从Postman复制了代码,但似乎没有用 . 我认为错误与CSRF有关,因为如果我关闭服务器上的CSRF并在没有CSRF令牌的情况下进行相同的cURL调用,一切正常 . 现在更多细节:这就是Postman给出的cURL命令:... -
0 votesanswersviews
Django Angular 5开发设置CSRF处理
在CSRF验证方面,我目前的开发设置存在一些问题 . 由于我正在并行运行角度开发服务器和django开发服务器,并且(当然)需要向后端发送请求,因此CSRF成为一个问题 . 当用户连接时,Django通常会将令牌移出,但是现在前端和后端都是如此断开连接,我没有以自然的方式获得CSRF令牌 . 我现在尝试的是添加一个 @csrf_exempt 装饰函数,以便能够获取cookie,也可以通过使用 @e... -
2 votesanswersviews
Django Angular 403 Django不接受CSRF-cookie:“CSRF令牌丢失或不正确 . ”
我'm trying to create an SPA using Angular6 combined with Django. I'我有一个问题,Django不接受我发送的csrftoken cookie我的请求 . CSRF_USE_SESSIONS = False 在我的settings.py中 当获取请求设置cookie时,这是来自浏览器控制台的图片: 这是使用相同cookie的pos... -
0 votesanswersviews
CSRF令牌无法在nodejs中运行
我正在使用nodejs,express开发一个简单的Web应用程序,当我切换到session和csrf时,我的PUT,DELETE和POST请求都失败了 . 有错误: error: Forbidden at Object.exports.error (appFolder/node_modules/express/node_modules/connect/lib/utils.js:63:13) at... -
1 votesanswersviews
安全地使用Json Web Tokens
我最近一直在搜索如何使用 JWT 进行身份验证并重构我的应用程序以使用它们而不是会话,当我们将服务器端sails api与移动应用程序集成时 . 在构建金融科技产品时,安全性非常重要 . 我正在使用 sails js 和 passport-jwt . 我使用 AngularJS $cookies.put 函数将令牌存储在浏览器cookie中 . 我的目标是尽可能确保此令牌不会被浏览器中的任何第三... -
15 votesanswersviews
Cookie会保护令牌免受XSS攻击吗? [关闭]
我正在为基于浏览器的Javascript Web应用程序构建一个基于JWT(JSON Web Token)的身份验证机制,与无状态服务器(没有用户会话!)一起工作,我想知道,如果使用存储,一劳永逸我在cookie中的JWT令牌将保护我的令牌免受XSS攻击,或者如果没有保护,那么在我的Javascript应用程序中使用浏览器本地存储没有任何真正的优势 . 我已经在SO和许多博客中看到了这个问题并得到... -
2 votesanswersviews
JWT UnauthorizedError:未找到授权令牌(带cookie的GET请求)
我有一个奇怪的问题,或者我不明白JWT在Express上下文中是如何工作的 . var express = require('express') var app = express(); var expressJWT = require('express-jwt'); var jwt = require('jsonwebtoken'); var cookieParser = require('co... -
2 votesanswersviews
XSRF-TOKEN没有被Angular 2发送,因为它说它默认会这样做
我的登录请求的响应如下所示: - 它有Cookie JSESSIONID和XSRF-TOKEN 现在,其他后续请求如下所示 . 我读到默认情况下Angular 2从cookie获取值并附加到每个后续请求的 Headers 但是它不这样做 . 请让我知道我应该怎么做,以便Angular自动和全局地接收它 . CORS SETUP res.set('Access-Control-Allow-O... -
7 votesanswersviews
ng2从cookie获取csrf令牌将其作为 Headers 发布
在花了整整两天的时间搜索网络并阅读文档和大量面临同样问题的人的开放性问题之后,我仍然不了解Angular 2如何处理(x-origin)cookie以及如何访问它们 . The problem: 后端发送2个带有x-csrf-token和JSESSIONID的cookie . 我的工作是将csrf令牌保留在内存(ng2)中并将其(仅)发送回 header (不是cookie),每个帖子都发送到后端... -
0 votesanswersviews
无法在Angular JS 1.5.5中读取XSRF-TOKEN cookie
为了保护应用免受CSRF攻击,我们从服务器端设置了一个名为 XSRF-TOKEN 的cookie . 因此,从客户端代码我们可以设置cookie并发送到服务器,但是为了在服务器端验证CSRF,我们需要在触发'POST'服务调用时发送头 . 根据angular文档自动$ http设置 Headers X-XSRF-TOKEN 通过读取cookie(请参考link),但Javascript代码无法读... -
0 votesanswersviews
Laravel是否为CSRF令牌设置了Cookie
我想从laravel使用XSRF-Token键设置的cookie中获取CSRF令牌 . (如here所述) 但我认为这个cookie包含其他内容,因为它的长度比普通的Laravel CSRF令牌大得多 . 另外,我认为我的laravel App存在一些问题 . 因为它会响应发送两个set-cookie标头 . 这是laravel在set-cookie响应头中发送的内容 . Set-Cookie:... -
0 votesanswersviews
当我刷新登录屏幕时,Mac Safari随机重新创建cookie . 非常离奇
我们在我们的应用程序中发现了一个问题,即Mac上的Safari随机重新创建登录会话中的登录cookie . 我有一个带有此行为的小提琴档案here . 请注意,已经从中移除了一些内容以使其更容易获取,但是没有任何设置cookie或任何内容的内容已被取出 - 仅重复请求3-8 . 我将通过正在运行的订单与您联系 请求1:用户通过调用注销到/logout.aspx - Set-Cookie返回... -
1 votesanswersviews
双提交CSRF保护跨域
我对如何进行CSRF保护感到困惑 . 我有单独的前端(angularjs)和后端(Spring) . 它们部署在完全独立的位置,并通过REST进行通信 . 我的问题如下 . Angular拒绝发送我的CSRF cookie跨域 - 我可以发送的是CSRF头 . 我已经尝试将 withCredentials 添加到我的后端的角度和CORS过滤器,并设置xsrf标头和cookie,如here und... -
1 votesanswersviews
csurf:如何将csrf令牌传递给客户端而不将其插入模板视图?
我没有使用像把手或视图这样的模板语言(我捆绑了客户端代码),因此我很难弄清楚如何在不将其传递到视图的情况下发送csrf令牌 . 几乎所有的例子都像这样注入令牌服务器端: app.get('/form', csrfProtection, function(req, res) { // pass the csrfToken to the view res.render('send', { cs... -
0 votesanswersviews
如何在WSO2 Identity Server中销毁身份验证会话?
我正在使用带有OpenId Connect协议的WSO2 Identity Server进行身份验证 . 当用户登录时,会创建一个会话以便下次记住该用户 . 我想知道破坏这次 Session 的可能方法 . 当未使用身份验证会话持久性时:如果我理解得很好,在这种情况下,会话将使用"commonAuthId" cookie保留 . 关闭Web浏览器时,将销毁此cookie .... -
1 votesanswersviews
OWIN Cookie身份验证无法在IIS 8.5上运行
我开发了一个带有OWIN身份验证的ASP.NET webapp,它在我的开发机器(Windows 10 / IIS 10)上工作正常,但是当使用IIS 8.5将webapp发布到我的Windows 2012服务器时,cookie身份验证似乎不起作用 . 当我登录(IsPersistent设置为true)并关闭浏览器时,我仍然在我再次启动浏览器时登录,所以没关系 . 但是,当我重新启动IIS并启动浏... -
3 votesanswersviews
Nuxt.js - 在插件中获取cookie
我有一个Vue.JS应用程序,并通过将其实例导入组件(如下所示)将axios用作HTTP客户端: import axios from 'axios' import cookies from '~/components/cookies.js'; var api = axios.create({ baseURL: 'http://localhost.api/', timeout: 10000,... -
5 votesanswersviews
在laravel应用程序中,Auth :: user()在域中返回null
我在服务器a.com上托管了一个laravel应用程序,该应用程序处理其他服务器上设置的其他laravel应用程序的所有身份验证,Server 1 - app.com - 对系统进行身份验证/用户管理并将其存储在将cookie发送到服务器2,3和4, server 2. mail.app.com server 3. fms.app.com server 4. dod.app.com ...