Programmazione csrf

5

Che cos'è un token CSRF? Qual è la sua importanza e come funziona?

Sto scrivendo un'applicazione (Django, succede così) e voglio solo un'idea di cosa sia effettivamente un "token CSRF" e di come protegge i dati. I dati di post non sono sicuri se non si utilizzano i token CSRF?

629 csrf

4

Perché è comune inserire i token di prevenzione CSRF nei cookie?

Sto cercando di capire l'intero problema con CSRF e modi appropriati per prevenirlo. (Risorse che ho letto, compreso e in accordo con: OWASP CSRF Prevenzione CHeat Sheet , Domande su CSRF .) Da quanto ho capito, la vulnerabilità intorno a CSRF è introdotta dal presupposto che (dal punto di vista …

284 security cookies web csrf owasp

17

ATTENZIONE: impossibile verificare i binari di autenticità del token CSRF

Sto inviando dati dalla vista al controller con AJAX e ho ricevuto questo errore: ATTENZIONE: impossibile verificare l'autenticità del token CSRF Penso di dover inviare questo token con i dati. Qualcuno sa come posso farlo? Modifica: la mia soluzione L'ho fatto inserendo il seguente codice nel post AJAX: headers: { …

238 ruby-on-rails jquery csrf

20

jQuery Ajax chiama e Html.AntiForgeryToken ()

Ho implementato nella mia app la mitigazione degli attacchi CSRF seguendo le informazioni che ho letto su alcuni post di blog su Internet. In particolare questi post sono stati il motore della mia implementazione Best practice per ASP.NET MVC del team di contenuti per sviluppatori ASP.NET e Web Tools Anatomia …

207 asp.net-mvc ajax asp.net-mvc-2 csrf antiforgerytoken

18

Controllo Django CSRF non riuscito con una richiesta POST Ajax

Potrei usare un po 'di aiuto per conformarmi al meccanismo di protezione CSRF di Django tramite il mio post AJAX. Ho seguito le indicazioni qui: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Ho copiato esattamente il codice di esempio AJAX che hanno su quella pagina: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Ho messo un avviso stampando il contenuto di getCookie('csrftoken')prima della …

180 python ajax django csrf

11

include antiforgerytoken in ajax post ASP.NET MVC

Sto riscontrando problemi con AntiForgeryToken con ajax. Sto usando ASP.NET MVC 3. Ho provato la soluzione nelle chiamate jQuery Ajax e Html.AntiForgeryToken () . Utilizzando quella soluzione, il token è ora passato: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: …

168 asp.net ajax asp.net-mvc asp.net-mvc-3 csrf

4

I moduli di accesso hanno bisogno di token contro gli attacchi CSRF?

Da quello che ho imparato finora, lo scopo dei token è impedire a un utente malintenzionato di creare un modulo. Ad esempio, se un sito Web avesse un modulo che immetteva articoli aggiunti al carrello e un utente malintenzionato potrebbe inviare spam al carrello con articoli che non desideri. Questo …

161 php token csrf

3

Dove archiviare JWT nel browser? Come proteggersi dalla CSRF?

Conosco l'autenticazione basata su cookie. È possibile applicare flag SSL e HttpOnly per proteggere l'autenticazione basata su cookie da MITM e XSS. Tuttavia, saranno necessarie ulteriori misure speciali per proteggerlo dal CSRF. Sono solo un po 'complicati. ( riferimento ) Di recente, ho scoperto che JSON Web Token (JWT) è …

159 security authentication cookies csrf jwt

3

POSTing di moduli interdominio

Ho visto articoli e post dappertutto (incluso SO) su questo argomento e il commento prevalente è che la politica della stessa origine impedisce un modulo POST tra domini. L'unico posto in cui ho visto qualcuno suggerire che la politica sulla stessa origine non si applica ai post dei moduli, è …

145 html security http csrf same-origin-policy

8

Rails CSRF Protection + Angular.js: protect_from_forgery mi fa disconnettere da POST

Se l' protect_from_forgeryopzione è menzionata in application_controller, allora posso accedere ed eseguire qualsiasi richiesta GET, ma alla prima richiesta POST Rails resetta la sessione, il che mi disconnette. Ho protect_from_forgerydisattivato temporaneamente l' opzione, ma vorrei usarla con Angular.js. C'è un modo per farlo?

129 ruby-on-rails angularjs csrf protect-from-forgery

2

Token CSRF necessario quando si utilizza l'autenticazione senza stato (= senza sessione)?

È necessario utilizzare CSRF Protection quando l'applicazione si basa su un'autenticazione senza stato (utilizzando qualcosa come HMAC)? Esempio: Abbiamo una pagina singola applicazione (altrimenti dobbiamo aggiungere il segnalino su ogni link: <a href="...?token=xyz">...</a>. L'utente si autentica utilizzando POST /auth. In caso di autenticazione riuscita, il server restituirà un token. Il …

125 authentication csrf single-page-application stateless csrf-protection

12

Django Rest Framework rimuove csrf

So che ci sono risposte riguardo Django Rest Framework, ma non sono riuscito a trovare una soluzione al mio problema. Ho un'applicazione con autenticazione e alcune funzionalità. Ho aggiunto una nuova app, che utilizza Django Rest Framework. Voglio usare la libreria solo in questa app. Inoltre voglio fare richiesta POST, …

112 django django-rest-framework csrf django-csrf

18

"La pagina è scaduta per inattività" - Laravel 5.5

La mia pagina di registrazione mostra correttamente il modulo con CsrfToken ( {{ csrf_field() }}) presente nel modulo). Modulo HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Sto usando l'autenticazione incorporata per gli utenti. Non è cambiato nulla tranne le rotte e i reindirizzamenti. …

111 php laravel csrf laravel-5.5

3

Disattiva il token CSRF nei binari 3

Ho un'app per rails che serve alcune API a un'applicazione per iPhone. Voglio essere in grado di pubblicare semplicemente su una risorsa senza preoccuparmi di ottenere il token CSRF corretto. Ho provato alcuni metodi che vedo qui in stackoverflow ma sembra che non funzionino più su rails 3. Grazie per …

105 ruby-on-rails-3 csrf

2

Protezione CSRF con intestazione CORS Origin e token CSRF

Questa domanda riguarda solo la protezione dagli attacchi Cross Site Request Forgery. Si tratta in particolare di: La protezione tramite l'intestazione Origin (CORS) è buona quanto la protezione tramite un token CSRF? Esempio: Alice ha effettuato l'accesso (utilizzando un cookie) con il suo browser a " https://example.com ". Presumo che …

103 javascript security cors csrf

Domande taggate «csrf»