«csrf» etiketlenmiş sorular

Siteler Arası İstek Sahteciliği, bir web sitesinin kullanıcının tarayıcısına olan güvenini istismar etmeye yönelik kötü niyetli bir saldırıdır.


4
CSRF önleme belirteçlerini çerezlere koymak neden yaygındır?
CSRF ile ilgili tüm sorunu ve bunu önlemek için uygun yolları anlamaya çalışıyorum. (Okuduğum, anladığım ve kabul ettiğim kaynaklar: OWASP CSRF Önleme Hile Sayfası , CSRF hakkında sorular .) Anladığım kadarıyla, CSRF çevresindeki güvenlik açığı, (web sunucusunun bakış açısından) gelen bir HTTP isteğindeki geçerli bir oturum çerezinin kimliği doğrulanmış bir …
284 security  cookies  web  csrf  owasp 

17
UYARI: CSRF jetonu kimlik doğrulama rayları doğrulanamıyor
AJAX ile denetleyiciye görünümden veri gönderiyorum ve bu hatayı aldım: UYARI: CSRF jetonu doğruluğu doğrulanamıyor Sanırım bu jetonu veri ile göndermek zorundayım. Bunu nasıl yapabileceğimi bilen var mı? Edit: Benim çözümüm AJAX yazı içine aşağıdaki kodu koyarak bunu yaptım: headers: { 'X-Transaction': 'POST Example', 'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content') },

20
jQuery Ajax çağrıları ve Html.AntiForgeryToken ()
Uygulamamda internetteki bazı blog yazılarında okuduğum bilgileri izleyerek CSRF saldırılarını hafifletmeyi uyguladım . Özellikle bu yazı benim uygulamamın itici gücü oldu ASP.NET ve Web Araçları Geliştirici İçerik Ekibi'nden ASP.NET MVC için En İyi Uygulamalar Phil Haack blogundan Siteler Arası Talep Sahteciliği Saldırısı Anatomisi ASP.NET MVC Çerçevesinde AntiForgeryToken - David Hayden …

18
Ajax POST isteği ile Django CSRF denetimi başarısız oluyor
AJAX yazı ile Django CSRF koruma mekanizması ile uyumlu bazı yardım kullanabilirsiniz. Buradaki talimatları takip ettim: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Ben tam olarak bu sayfada sahip AJAX örnek kod kopyaladım: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Aramadan getCookie('csrftoken')önce içeriğini yazdıran bir uyarı koydum xhr.setRequestHeaderve gerçekten bazı verilerle dolduruldu. Simgenin doğru olduğunu nasıl doğrulayacağımdan emin değilim, ancak bir şey …
180 python  ajax  django  csrf 

11
ASP.NET MVC ajax sonrası antiforgerytoken dahil
Ajax ile konuşulan AntiForgeryToken ile sorun yaşıyorum. ASP.NET MVC 3 kullanıyorum. JQuery Ajax çağrıları ve Html.AntiForgeryToken () çözümü denedim . Bu çözümü kullanarak, belirteç şimdi geçiyor: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", traditional: true, contentType: "application/json; charset=utf-8", …

4
Giriş formlarının CSRF saldırılarına karşı belirteçlere ihtiyacı var mı?
Şimdiye kadar öğrendiğim kadarıyla, jetonların amacı, bir saldırganın bir form göndermesini önlemektir. Örneğin, bir web sitesinde alışveriş sepetinize ürün ekleyen bir form varsa ve bir saldırgan, alışveriş sepetinize istemediğiniz öğelerle spam gönderebilirse. Bu, alışveriş sepeti formu için birden fazla geçerli giriş olabileceği için, saldırganın yapması gereken tek şey web sitesinin …
161 php  token  csrf 

3
JWT'yi tarayıcıda nerede saklayabilirim? CSRF'ye karşı nasıl korunulur?
Çerez tabanlı kimlik doğrulamasını biliyorum. SSL ve HttpOnly bayrağı, çerez tabanlı kimlik doğrulamasını MITM ve XSS'den korumak için uygulanabilir. Bununla birlikte, CSRF'den korunmak için daha özel önlemlerin alınması gerekecektir. Bunlar biraz karmaşık. ( başvuru ) Son zamanlarda, JSON Web Token'ın (JWT) kimlik doğrulama için bir çözüm olarak oldukça sıcak olduğunu …

3
Web Alanları Arası Form POSTing
Bu konuyla ilgili her yerde (SO dahil) makaleler ve yayınlar gördüm ve geçerli yorum, aynı köken politikasının etki alanları arasında bir form POST'u engellemesidir. Birinin aynı köken politikasının form gönderileri için geçerli olmadığını önerdiğini gördüğüm tek yer burada . Daha "resmi" veya resmi bir kaynaktan cevap almak istiyorum. Örneğin, RFC'yi …

8
Rails CSRF Protection + Angular.js: protect_from_forgery, POST'ta oturumu kapatmama neden oluyor
Eğer protect_from_forgeryseçenek application_controller'da belirtilmişse, o zaman oturum açabilir ve herhangi bir GET isteğini gerçekleştirebilirim, ancak ilk POST isteğinde Rails oturumu sıfırlayarak oturumu kapatır. Bu protect_from_forgeryseçeneği geçici olarak kapattım, ancak Angular.js ile kullanmak istiyorum. Bunu yapmanın bir yolu var mı?

2
Durumsuz (= Oturumsuz) Kimlik Doğrulaması kullanılırken CSRF Belirteci gerekli mi?
Uygulama durum bilgisi içermeyen kimlik doğrulamaya dayandığında (HMAC gibi bir şey kullanarak) CSRF Koruması kullanmak gerekli midir? Misal: Biz tek bir sayfa uygulaması var (aksi takdirde biz her linke belirteci eklemek zorunda: <a href="...?token=xyz">...</a>. Kullanıcı kullanarak kimliğini doğrular POST /auth. Başarılı bir kimlik doğrulamasında sunucu bazı belirteçler döndürür. Jeton, tek …

12
Django Rest Framework csrf'yi kaldır
Django Rest Framework ile ilgili cevaplar olduğunu biliyorum, ancak sorunuma bir çözüm bulamadım. Kimlik doğrulaması ve bazı işlevleri olan bir uygulamam var. Ona Django Rest Framework kullanan yeni bir uygulama ekledim. Kitaplığı yalnızca bu uygulamada kullanmak istiyorum. Ayrıca POST isteğinde bulunmak istiyorum ve her zaman şu yanıtı alıyorum: { "detail": …

18
"Etkinlik olmaması nedeniyle sayfanın süresi doldu" - Laravel 5.5
Kayıt sayfam, formu CsrfToken ( {{ csrf_field() }}) formunda mevcut olarak doğru şekilde gösteriyor ). Form HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Kullanıcılar için dahili kimlik doğrulaması kullanıyorum. Rotalar ve yönlendirmeler dışında hiçbir şeyi değiştirmedim. Formu gönderdiğimde (ayrıca yeniden yükledikten hemen sonra), …
111 php  laravel  csrf  laravel-5.5 

3
Raylarda CSRF jetonunu kapatın 3
Bir iPhone uygulamasına bazı API'ler sunan bir raylar uygulamam var. Doğru CSRF jetonunu almaya aldırmadan bir kaynağa basitçe gönderi yapabilmek istiyorum. Burada stackoverflow'da gördüğüm bazı yöntemleri denedim ama artık raylar üzerinde çalışmıyorlar gibi görünüyor 3. Bana yardım için teşekkür ederim.

2
CORS Origin başlığı ve CSRF belirteci ile CSRF koruması
Bu soru, yalnızca Siteler Arası İstek Sahteciliği saldırılarına karşı korumayla ilgilidir. Özellikle şunlarla ilgilidir: Origin başlığı (CORS) aracılığıyla koruma, bir CSRF belirteci yoluyla koruma kadar iyi mi? Misal: Alice, tarayıcısıyla " https://example.com " adresinde oturum açtı (bir çerez kullanarak) . Modern bir tarayıcı kullandığını varsayıyorum. Alice " https://evil.com " adresini …

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.