Sto scrivendo un'applicazione (Django, succede così) e voglio solo un'idea di cosa sia effettivamente un "token CSRF" e di come protegge i dati. I dati di post non sono sicuri se non si utilizzano i token CSRF?
Sto cercando di capire l'intero problema con CSRF e modi appropriati per prevenirlo. (Risorse che ho letto, compreso e in accordo con: OWASP CSRF Prevenzione CHeat Sheet , Domande su CSRF .) Da quanto ho capito, la vulnerabilità intorno a CSRF è introdotta dal presupposto che (dal punto di vista …
Sto inviando dati dalla vista al controller con AJAX e ho ricevuto questo errore: ATTENZIONE: impossibile verificare l'autenticità del token CSRF Penso di dover inviare questo token con i dati. Qualcuno sa come posso farlo? Modifica: la mia soluzione L'ho fatto inserendo il seguente codice nel post AJAX: headers: { …
Ho implementato nella mia app la mitigazione degli attacchi CSRF seguendo le informazioni che ho letto su alcuni post di blog su Internet. In particolare questi post sono stati il motore della mia implementazione Best practice per ASP.NET MVC del team di contenuti per sviluppatori ASP.NET e Web Tools Anatomia …
Potrei usare un po 'di aiuto per conformarmi al meccanismo di protezione CSRF di Django tramite il mio post AJAX. Ho seguito le indicazioni qui: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Ho copiato esattamente il codice di esempio AJAX che hanno su quella pagina: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Ho messo un avviso stampando il contenuto di getCookie('csrftoken')prima della …
Sto riscontrando problemi con AntiForgeryToken con ajax. Sto usando ASP.NET MVC 3. Ho provato la soluzione nelle chiamate jQuery Ajax e Html.AntiForgeryToken () . Utilizzando quella soluzione, il token è ora passato: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: …
Da quello che ho imparato finora, lo scopo dei token è impedire a un utente malintenzionato di creare un modulo. Ad esempio, se un sito Web avesse un modulo che immetteva articoli aggiunti al carrello e un utente malintenzionato potrebbe inviare spam al carrello con articoli che non desideri. Questo …
Conosco l'autenticazione basata su cookie. È possibile applicare flag SSL e HttpOnly per proteggere l'autenticazione basata su cookie da MITM e XSS. Tuttavia, saranno necessarie ulteriori misure speciali per proteggerlo dal CSRF. Sono solo un po 'complicati. ( riferimento ) Di recente, ho scoperto che JSON Web Token (JWT) è …
Ho visto articoli e post dappertutto (incluso SO) su questo argomento e il commento prevalente è che la politica della stessa origine impedisce un modulo POST tra domini. L'unico posto in cui ho visto qualcuno suggerire che la politica sulla stessa origine non si applica ai post dei moduli, è …
Se l' protect_from_forgeryopzione è menzionata in application_controller, allora posso accedere ed eseguire qualsiasi richiesta GET, ma alla prima richiesta POST Rails resetta la sessione, il che mi disconnette. Ho protect_from_forgerydisattivato temporaneamente l' opzione, ma vorrei usarla con Angular.js. C'è un modo per farlo?
È necessario utilizzare CSRF Protection quando l'applicazione si basa su un'autenticazione senza stato (utilizzando qualcosa come HMAC)? Esempio: Abbiamo una pagina singola applicazione (altrimenti dobbiamo aggiungere il segnalino su ogni link: <a href="...?token=xyz">...</a>. L'utente si autentica utilizzando POST /auth. In caso di autenticazione riuscita, il server restituirà un token. Il …
So che ci sono risposte riguardo Django Rest Framework, ma non sono riuscito a trovare una soluzione al mio problema. Ho un'applicazione con autenticazione e alcune funzionalità. Ho aggiunto una nuova app, che utilizza Django Rest Framework. Voglio usare la libreria solo in questa app. Inoltre voglio fare richiesta POST, …
La mia pagina di registrazione mostra correttamente il modulo con CsrfToken ( {{ csrf_field() }}) presente nel modulo). Modulo HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Sto usando l'autenticazione incorporata per gli utenti. Non è cambiato nulla tranne le rotte e i reindirizzamenti. …
Ho un'app per rails che serve alcune API a un'applicazione per iPhone. Voglio essere in grado di pubblicare semplicemente su una risorsa senza preoccuparmi di ottenere il token CSRF corretto. Ho provato alcuni metodi che vedo qui in stackoverflow ma sembra che non funzionino più su rails 3. Grazie per …
Questa domanda riguarda solo la protezione dagli attacchi Cross Site Request Forgery. Si tratta in particolare di: La protezione tramite l'intestazione Origin (CORS) è buona quanto la protezione tramite un token CSRF? Esempio: Alice ha effettuato l'accesso (utilizzando un cookie) con il suo browser a " https://example.com ". Presumo che …
We use cookies and other tracking technologies to improve your browsing experience on our website,
to show you personalized content and targeted ads, to analyze our website traffic,
and to understand where our visitors are coming from.
By continuing, you consent to our use of cookies and other tracking technologies and
affirm you're at least 16 years old or have consent from a parent or guardian.