-
0 votesanswersviews
CSRF Guard对Grails AJAX的要求
我很难让CSRF Guard在我的Grails应用程序中处理Ajax请求 . 我已经在页面中添加了Javascript Servlet,并按照其网站上的说明进行操作 . 问题是它一直说我丢失了令牌 . 除此之外,我们的Ajax请求不在表单中,我认为CSRF会查找表单并自动为Ajax POST请求注入令牌 . 我只是获取每个参数并将其作为我的Ajax POST请求中的数据传递 . -
1 votesanswersviews
JSON请求中的CodeIgniter CSRF令牌
我遇到了CodeIgniter / CSRF / JSON的问题 . 我使用Content-Type“application / json将HTTP POST请求发送到我的PHP后端 . 有效负载是JSON数据 . 除了数据之外,我还传递生成并存储在CSRF cookie中的CSRF令牌 . 使用标准POST FORM请求,它工作得很好,但是当作为JSON发送时它失败了 . 由于$ _POST数组... -
2 votesanswersviews
Laravel - 用于定制ajax帖子的CSRF
要在laravel中动态提取部分视图,可以使用ajax . 从安全角度来看,您通常会使用laravel提供的令牌来避免csrf攻击 . 很多时候,您不需要整个HTML表单,只需使用jquery发布数据,因此您可以将部分视图作为响应检索,并将其注入HTML . 我知道在HTML表单中,你可以为laravel包含一个令牌以避免csrf,但是如果它是一个没有表单的jquery的ajax请求,并且你在同一... -
2 votesanswersviews
Dropzone CSRF令牌不匹配Laravel 5
我正在使用Dropzone使用Laravel 5上传图像 . 在Dropzone对我的URL进行put调用后,我收到以下错误: VerifyCsrfToken.php第67行中的TokenMismatchException: 但是,当我查看请求的有效负载时,令牌存在: ------ WebKitFormBoundary91A7BYrMsDcGTEvx Content-Disposition:... -
0 votesanswersviews
laravel显示旧的CSRF令牌,导致tokenmismatchException
我正在使用 Laravel 进行一个项目,我需要 CSRF token 进行API调用 . 我的CSRF元标记有时包含过期的标记 . 通过刷新它可以像10个新电话一样 . 所以在完成10次刷新之后,我从我的AJAX调用中得到 TokenMismatchException . 将此API调用设置为CSRF异常不是一种选择,因为API调用负载很重并且包含有 Value 的信息 . 我没有自定义任何m... -
0 votesanswersviews
Laravel csrf令牌在第二次ajax帖子上不匹配
我试图在laravel中提交一个ajax帖子,但我对表单的csrf令牌有一些问题 . 在我的表单中,如果我第一次提交表单时满足了我在ajax post url中设置的条件 . 但是,如果我提交表单并故意失败我在第一次尝试中在我的ajax帖子网址中设置的条件,如果我再次提交表单,我的ajax错误日志中会出现令牌不匹配异常 . 我是否需要刷新每个ajax帖子的csrf_token? 以下是我的代码 J... -
0 votesanswersviews
spring boot security oauth2反应csrf令牌
我正在使用oauth2处理spring boot 1.5.2安全性,我也在使用reactjs . 我有单独的身份验证服务器用于用户身份验证,它正常工作 . 当用户点击它时我有注销链接应该注销但我在日志中收到此错误: 为http://localhost:8080/logout找到无效的CSRF令牌 我正在分享我的代码: App.js class App扩展了React.Component {co... -
11 votesanswersviews
在Ionic应用程序中一起使用CORS和CSRF
我正在使用Ionic Framework在我使用Jhipster开发的AngularJS网站上开发一个Android应用程序 . 由于我已经在我的Web应用程序中运行了服务器代码,因此我在开发环境中遇到了一些问题 . 当我使用Ionic服务器运行我的应用程序时,我需要使用CORS向服务器发出请求 . 我的Web应用程序是使用带有Spring Security的CSRF令牌开发的 我正在... -
4 votesanswersviews
Anti Forgery Cookie Token具有不同的ID
我正在使用MVC视图和Web API的组合开发ASP.NET核心Web应用程序 . 我还使用Identity进行用户管理 . 我现在想为我们的Web API启用Anti-Request-Forgery Tokens . 为此,我将Razor视图中的 IAntiForgery 服务用于 GetAndStoreTokens ,并将 RequestToken 转发为 $.ajax 作为 Headers ... -
1 votesanswersviews
CSRF _token值以登录形式刷新
我有一个用Ajax提交的登录表单 . 在一个特定情况下,在用户登录后,我需要使用 Auth::logout() 将其注销并显示另一个模式框 . 所有这些都发生在没有页面重新加载的情况下 当打开并再次提交登录模式时,我得到 Token mismatch error . 发生这种情况的原因是因为注销使用 Session::flush() . 在此之后, _token Session变量被刷新,而... -
45 votesanswersviews
Laravel捕获TokenMismatchException
可以使用try catch块捕获TokenMismatchException吗?我希望它显示实际页面并显示错误消息,而不是显示显示“VerifyCsrfToken.php第46行中的TokenMismatchException ...”的调试页面 . 我对CSRF没有任何问题,我只是希望它仍然显示页面而不是调试页面 . 复制(使用firefox):步骤: 打开页面(http://example... -
1 votesanswersviews
Laravel 5.2令牌不匹配
我正在将Laravel 5.1站点更新为Laravel 5.2.39 . 我在“已批准”的升级过程中遇到了很多问题(特别是中间件),所以我最终创建了一个新的Laravel 5.2站点,只是从旧站点移动我的视图,模型和控制器 . 它似乎有效,除非我提交任何表单,我得到一个令牌不匹配异常: TokenMismatchException in VerifyCsrfToken.php line 67: ... -
1 votesanswersviews
Play Framework 2.6 CSRF和Session
我有一个奇怪的问题 . 我正在我的网站上实现购物车功能,我使用会话来存储购物车位置 . 我有一个POST动作来添加新的位置到购物车,我启用了CSRF过滤器来保护网站 . 我在产品页面上用ajax调用它,所以第一次调用没问题,但第二次说未授权,在日志中有 [CSRF] Check failed because no token found in headers for /cart . 但它有 . ... -
5 votesanswersviews
Rails,OAuth和CSRF保护
我正在使用REST和OAuth与Rails应用程序交谈(来自iPhone应用程序,但这不应该是相关的) . 但是,我遇到了Rails的CSRF保护(通过 protects_from_forgery )的一些问题 . 我知道CSRF保护只能用于常规表单提交(即Content-Type = application / x-www-form-urlencoded),所以如果我提交JSON或XML数据,我... -
3 votesanswersviews
Rails应用程序中的CSRF,提供HTML并为其他客户端(如iOS)公开API
Ruby On Rails框架包含的功能可以轻松构建公开Web服务API的服务器应用程序 . 例如,控制器执行以下操作: respond_to :html, :json, :xml def show @thing = Thing.find(params[:id]) respond_with @thing end ...将处理两个Web浏览器的“show”操作,提供HTML,并为指定此数... -
0 votesanswersviews
关于API请求的RequestForgeryProtection的Rails文档
我正在阅读有关protect_from_forgery http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection.html的说明,这几行真的让我很困惑 . 重要的是要记住XML或JSON请求也会受到影响,如果您正在构建API,则应该在ApplicationController中更改伪造保护方法(默认情... -
7 votesanswersviews
CSRF令牌与会话中的内容不匹配(Rails 4.1)
我们在Rails 4.1应用程序中看到了一个不幸的,可能是基于浏览器的CSRF令牌真实性问题 . 我们在这里发布它是为了询问社区其他人是否也看到它 . 请注意,大多数错误报告工具(如Honeybadger)会自动禁止 ActionController::InvalidAuthenticityToken ,因此您通常不会在错误报告工具中看到问题,除非您不要忘记查看它 . 这是问题所在,这不是一个发展... -
9 votesanswersviews
如何生成和验证csrf令牌
什么是生成csrf令牌并验证的最佳方法 . 从我能够收集到的内容来看,即使你在“帖子”形式中有一个隐藏的表单字段,黑客也可以使用ajax简单地获取该表单,获取csrf令牌并向站点发送另一个请求以提交表单 . 如果我们要检查发送给我们的标头...那么黑客可以简单地将csrf标记发送到服务器端脚本,然后模拟http标头 . 那么如何实际生成和验证csrf令牌呢? -
124 votesanswersviews
登录表单是否需要针对CSRF攻击的令牌?
从我到目前为止所学到的,令牌的目的是防止攻击者伪造表单提交 . 例如,如果某个网站的表单中添加了添加到购物车中的商品,并且攻击者可能会使用您不想要的商品向您的购物车发送垃圾邮件 . 这是有道理的,因为购物车表单可能有多个有效输入,攻击者必须做的就是知道网站正在销售的项目 . 我理解令牌如何工作并在这种情况下增加安全性,因为它们确保用户实际填写并按下表格中的“提交”按钮以添加到购物车中的每个项目 .... -
9 votesanswersviews
使用Backbone.js发布数据时如何防范CSRF?
Backbone.js处理将数据发布到服务器下的内容,因此没有简单的方法在有效负载中插入CSRF令牌 . 在这种情况下,如何保护我的网站免受CSRF的侵害? 在这个SO答案:https://stackoverflow.com/a/10386412/954376中,建议验证x-Requested-By标头是XMLHTTPRequest . 这足以阻止所有CSRF尝试吗? 在Django docs中,... -
23 votesanswersviews
令牌如何防止csrf攻击?
我已经阅读了CSRF以及如何使用不可预测的同步器令牌模式来防止它 . 我不太明白它是如何工作的 . 我们来看看这个场景: 用户使用以下格式登录网站: <form action="changePassword" method="POST"> <input type="text" name="password... -
1 votesanswersviews
如何使用play框架(play-2.2.3)提供的带有PHP前端的CSRF令牌?
我正在使用play-2.2.3来开发API . 这些API由PHP / JQuery前端访问 . 简单的例子是resetPassword API . 在PHP中,当我调用重置密码API时,它应该受到CSRF令牌的保护,这样有人就不能简单地调用该API并重置其他人的密码 . 如果没有使用Scala(由Play-2.2.3提供)呈现表单,有没有办法手动拥有一次性使用服务器端令牌,这些令牌在重置密码表单... -
1 votesanswersviews
在使用AJAX和Web API 2时了解CSRF
所以这是我的问题:如何为Web API 2 Web服务的AJAX调用实现CSRF并对其进行验证?如果客户端创建CSRF令牌: // using jQuery function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { ... -
0 votesanswersviews
来自浏览器扩展的CSRF令牌
我有一个快速的应用程序使用krakenjs / lusca来防止CSRF攻击,这适用于我的域内的所有路由 . 但是,我还有一个chrome扩展程序,我希望能够用来从任何域发布到应用程序 . 根据我的研究,我认为我应该使用基于令牌的身份验证,所以我有两个问题: 如何生成该令牌并将其发送到扩展程序以允许该应用程序验证来自扩展程序的请求? 如何将该令牌与扩展名一起存储? 我发现的答案涉及服务... -
0 votesanswersviews
当POST只是方法时,如何用jQuery从头中检索csrf令牌?
我正在使用Spring编写Rest Api并使用jQuery作为使用此API的前端应用程序 . 会话存储在cookie中,因此我需要使用令牌进行CSRF保护 . 令牌在请求/响应头中发送并存储在页面上的元标记中 . 这不是完整的SPA,因此在身份验证和注册时我会发送单独的html页面:index.html(对于经过身份验证的用户),login.html(登录页面),register.html(注册... -
12 votesanswersviews
如何为跨域请求实现csrf保护
我有两个Web应用程序,一个用于AngularJS中的Web UI,另一个用于Java中的REST Web服务 . 两者都部署在不同的域上 . 应用程序使用cookie进行身份验证 . 每当用户输入有效的用户名和密码时,服务器返回包含令牌的仅http cookie,并且cookie将在所有请求中传递 . 我在两个应用程序上启用了CORS,这就是会话cookie正常工作的原因 . 现在,我正在尝试为... -
1 votesanswersviews
API CSRF保护
我有一个由简单的JSON API和React前端组成的应用程序 . 身份验证通过cookie处理,前端从我用于API的同一域提供 . 由于我不允许使用CORS,如果只接受具有某些自定义标头的请求,例如 X-Requested-With 设置为 XMLHttpRequest ,则想知道API是否会受到CSRF攻击的保护 . -
0 votesanswersviews
Spring CSRF保护仅用于登录
我是'm using Spring for a webapplication'的后端,并将使用Angular作为前端 . 我正在尝试使用CSRF保护仅用于登录,在this guide之后进行了一些修改 . 我想要实现的是,Angular首先ajaxing到"/init"将设置CSRF TOKEN cookie,然后它可以调用登录,这是CSRF保护的 . 当我调用/ init方法... -
0 votesanswersviews
Jmeter:如何处理来自子URL的CSRF令牌,这在记录时是不可用的
我必须使用Jmeter来为网站执行负载测试 . 为此,我必须记录登录页面并使用CSV文件中的实际负载进行回放 . 网站使用CSRF令牌进行登录 . 在使用HTTPs脚本 Logger 回放录制的URL时,此“/ xyz / j_spring_security_check”调用\生成一个URL,/ xyz / login.html(此URL在记录的http请求中不可用,但可以在视图结果树中看到,这就... -
10 votesanswersviews
没有表格的Django CSRF令牌
听起来很奇怪但是使用Javascript(例如AJAX)发布内容而不使用表单的情况如何(可以从表面读取多个内容) . 我应该在哪里放置csrf_token模板标签?我已经添加了AJAX修复:https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax ...但我得到“CSRF验证失败 . 请求中止 . ” 404错误 .