«csrf» etiketlenmiş sorular

Bir uygulama yazıyorum (Django, öyle oluyor) ve ben sadece bir "CSRF token" nedir ve nasıl veri korumak hakkında bir fikir istiyorum. CSRF jetonlarını kullanmıyorsanız gönderi verileri güvenli değil mi?

628 csrf 

CSRF ile ilgili tüm sorunu ve bunu önlemek için uygun yolları anlamaya çalışıyorum. (Okuduğum, anladığım ve kabul ettiğim kaynaklar: OWASP CSRF Önleme Hile Sayfası , CSRF hakkında sorular .) Anladığım kadarıyla, CSRF çevresindeki güvenlik açığı, (web sunucusunun bakış açısından) gelen bir HTTP isteğindeki geçerli bir oturum çerezinin kimliği doğrulanmış bir …

284 security  cookies  web  csrf  owasp 

AJAX ile denetleyiciye görünümden veri gönderiyorum ve bu hatayı aldım: UYARI: CSRF jetonu doğruluğu doğrulanamıyor Sanırım bu jetonu veri ile göndermek zorundayım. Bunu nasıl yapabileceğimi bilen var mı? Edit: Benim çözümüm AJAX yazı içine aşağıdaki kodu koyarak bunu yaptım: headers: { 'X-Transaction': 'POST Example', 'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content') },

238 ruby-on-rails  jquery  csrf 

Uygulamamda internetteki bazı blog yazılarında okuduğum bilgileri izleyerek CSRF saldırılarını hafifletmeyi uyguladım . Özellikle bu yazı benim uygulamamın itici gücü oldu ASP.NET ve Web Araçları Geliştirici İçerik Ekibi'nden ASP.NET MVC için En İyi Uygulamalar Phil Haack blogundan Siteler Arası Talep Sahteciliği Saldırısı Anatomisi ASP.NET MVC Çerçevesinde AntiForgeryToken - David Hayden …

207 asp.net-mvc  ajax  asp.net-mvc-2  csrf  antiforgerytoken 

AJAX yazı ile Django CSRF koruma mekanizması ile uyumlu bazı yardım kullanabilirsiniz. Buradaki talimatları takip ettim: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Ben tam olarak bu sayfada sahip AJAX örnek kod kopyaladım: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Aramadan getCookie('csrftoken')önce içeriğini yazdıran bir uyarı koydum xhr.setRequestHeaderve gerçekten bazı verilerle dolduruldu. Simgenin doğru olduğunu nasıl doğrulayacağımdan emin değilim, ancak bir şey …

180 python  ajax  django  csrf 

Ajax ile konuşulan AntiForgeryToken ile sorun yaşıyorum. ASP.NET MVC 3 kullanıyorum. JQuery Ajax çağrıları ve Html.AntiForgeryToken () çözümü denedim . Bu çözümü kullanarak, belirteç şimdi geçiyor: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", traditional: true, contentType: "application/json; charset=utf-8", …

168 asp.net  ajax  asp.net-mvc  asp.net-mvc-3  csrf 

Şimdiye kadar öğrendiğim kadarıyla, jetonların amacı, bir saldırganın bir form göndermesini önlemektir. Örneğin, bir web sitesinde alışveriş sepetinize ürün ekleyen bir form varsa ve bir saldırgan, alışveriş sepetinize istemediğiniz öğelerle spam gönderebilirse. Bu, alışveriş sepeti formu için birden fazla geçerli giriş olabileceği için, saldırganın yapması gereken tek şey web sitesinin …

161 php  token  csrf 

Çerez tabanlı kimlik doğrulamasını biliyorum. SSL ve HttpOnly bayrağı, çerez tabanlı kimlik doğrulamasını MITM ve XSS'den korumak için uygulanabilir. Bununla birlikte, CSRF'den korunmak için daha özel önlemlerin alınması gerekecektir. Bunlar biraz karmaşık. ( başvuru ) Son zamanlarda, JSON Web Token'ın (JWT) kimlik doğrulama için bir çözüm olarak oldukça sıcak olduğunu …

159 security  authentication  cookies  csrf  jwt 

Bu konuyla ilgili her yerde (SO dahil) makaleler ve yayınlar gördüm ve geçerli yorum, aynı köken politikasının etki alanları arasında bir form POST'u engellemesidir. Birinin aynı köken politikasının form gönderileri için geçerli olmadığını önerdiğini gördüğüm tek yer burada . Daha "resmi" veya resmi bir kaynaktan cevap almak istiyorum. Örneğin, RFC'yi …

145 html  security  http  csrf  same-origin-policy 

Eğer protect_from_forgeryseçenek application_controller'da belirtilmişse, o zaman oturum açabilir ve herhangi bir GET isteğini gerçekleştirebilirim, ancak ilk POST isteğinde Rails oturumu sıfırlayarak oturumu kapatır. Bu protect_from_forgeryseçeneği geçici olarak kapattım, ancak Angular.js ile kullanmak istiyorum. Bunu yapmanın bir yolu var mı?

129 ruby-on-rails  angularjs  csrf  protect-from-forgery 

Uygulama durum bilgisi içermeyen kimlik doğrulamaya dayandığında (HMAC gibi bir şey kullanarak) CSRF Koruması kullanmak gerekli midir? Misal: Biz tek bir sayfa uygulaması var (aksi takdirde biz her linke belirteci eklemek zorunda: <a href="...?token=xyz">...</a>. Kullanıcı kullanarak kimliğini doğrular POST /auth. Başarılı bir kimlik doğrulamasında sunucu bazı belirteçler döndürür. Jeton, tek …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

Django Rest Framework ile ilgili cevaplar olduğunu biliyorum, ancak sorunuma bir çözüm bulamadım. Kimlik doğrulaması ve bazı işlevleri olan bir uygulamam var. Ona Django Rest Framework kullanan yeni bir uygulama ekledim. Kitaplığı yalnızca bu uygulamada kullanmak istiyorum. Ayrıca POST isteğinde bulunmak istiyorum ve her zaman şu yanıtı alıyorum: { "detail": …

112 django  django-rest-framework  csrf  django-csrf 

Kayıt sayfam, formu CsrfToken ( {{ csrf_field() }}) formunda mevcut olarak doğru şekilde gösteriyor ). Form HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Kullanıcılar için dahili kimlik doğrulaması kullanıyorum. Rotalar ve yönlendirmeler dışında hiçbir şeyi değiştirmedim. Formu gönderdiğimde (ayrıca yeniden yükledikten hemen sonra), …

111 php  laravel  csrf  laravel-5.5 

Bir iPhone uygulamasına bazı API'ler sunan bir raylar uygulamam var. Doğru CSRF jetonunu almaya aldırmadan bir kaynağa basitçe gönderi yapabilmek istiyorum. Burada stackoverflow'da gördüğüm bazı yöntemleri denedim ama artık raylar üzerinde çalışmıyorlar gibi görünüyor 3. Bana yardım için teşekkür ederim.

105 ruby-on-rails-3  csrf 

Bu soru, yalnızca Siteler Arası İstek Sahteciliği saldırılarına karşı korumayla ilgilidir. Özellikle şunlarla ilgilidir: Origin başlığı (CORS) aracılığıyla koruma, bir CSRF belirteci yoluyla koruma kadar iyi mi? Misal: Alice, tarayıcısıyla " https://example.com " adresinde oturum açtı (bir çerez kullanarak) . Modern bir tarayıcı kullandığını varsayıyorum. Alice " https://evil.com " adresini …

103 javascript  security  cors  csrf