Fałszerstwo żądań między witrynami to złośliwy atak wykorzystujący zaufanie witryny do przeglądarki użytkownika.
Piszę aplikację (Django, tak się zdarza) i chcę po prostu wiedzieć, czym tak naprawdę jest „token CSRF” i jak chroni dane. Czy dane pocztowe nie są bezpieczne, jeśli nie korzystasz z tokenów
Próbuję zrozumieć cały problem z CSRF i odpowiednie sposoby, aby temu zapobiec. (Zasoby, które przeczytałem, zrozumiałem i zgadzam się z: Arkuszem zapobiegania OWASP CSRF , Pytania dotyczące CSRF .) Jak rozumiem, luka wokół CSRF wynika z założenia, że (z punktu widzenia serwera) prawidłowy plik...
Przesyłam dane z widoku do kontrolera za pomocą AJAX i otrzymałem ten błąd: OSTRZEŻENIE: Nie można zweryfikować autentyczności tokenu CSRF Myślę, że muszę wysłać ten token z danymi. Czy ktoś wie jak to zrobić? Edycja: Moje rozwiązanie Zrobiłem to, umieszczając następujący kod w poście...
W mojej aplikacji zaimplementowałem ograniczenie do ataków CSRF zgodnie z informacjami, które przeczytałem na pewnym blogu w Internecie. W szczególności te posty były motorem mojej implementacji Najlepsze praktyki dotyczące ASP.NET MVC od zespołu ds. Treści programistów ASP.NET i narzędzi...
Mógłbym skorzystać z pomocy w przestrzeganiu mechanizmu ochrony CSRF Django za pośrednictwem mojego postu AJAX. Postępowałem zgodnie ze wskazówkami tutaj: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Skopiowałem dokładnie przykładowy kod AJAX, który mają na tej...
Mam problem z AntiForgeryTokenem z ajaxem. Korzystam z ASP.NET MVC 3. Próbowałem rozwiązania w wywołaniach jQuery Ajax i Html.AntiForgeryToken () . Korzystając z tego rozwiązania, token jest teraz przekazywany: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type:...
Z tego, czego się do tej pory dowiedziałem, celem tokenów jest zapobieganie sfałszowaniu przesłania formularza przez atakującego. Na przykład, jeśli witryna internetowa miała formularz, który wprowadzał dodawane pozycje do koszyka, a osoba atakująca mogłaby spamować Twój koszyk artykułami, których...
Znam uwierzytelnianie oparte na plikach cookie. Flaga SSL i HttpOnly może być stosowana do ochrony uwierzytelniania opartego na plikach cookie przed MITM i XSS. Jednak konieczne będzie zastosowanie bardziej specjalnych środków w celu ochrony przed CSRF. Są po prostu trochę skomplikowane. (...
Widziałem artykuły i posty (w tym SO) na ten temat, a dominującym komentarzem jest to, że polityka tego samego pochodzenia zapobiega wysyłaniu formularza POST w różnych domenach. Jedyne miejsce, w którym ktoś sugerował, że polityka tego samego pochodzenia nie dotyczy postów formularzy, jest tutaj...
Jeśli protect_from_forgeryopcja jest wymieniona w application_controller, mogę się zalogować i wykonać dowolne żądanie GET, ale przy pierwszym żądaniu POST Railsy resetują sesję, co powoduje wylogowanie. protect_from_forgeryTymczasowo wyłączyłem tę opcję, ale chciałbym jej używać z Angular.js....
Czy konieczne jest stosowanie ochrony CSRF, gdy aplikacja opiera się na uwierzytelnianiu bezstanowym (przy użyciu czegoś takiego jak HMAC)? Przykład: Mamy jedną aplikację, stronę (w przeciwnym razie mamy do dołączania żeton na każdym linku: <a href="...?token=xyz">...</a>. Użytkownik...
Wiem, że istnieją odpowiedzi dotyczące Django Rest Framework, ale nie mogłem znaleźć rozwiązania mojego problemu. Mam aplikację, która ma uwierzytelnianie i pewne funkcje. Dodałem do niego nową aplikację, która korzysta z Django Rest Framework. Chcę korzystać z biblioteki tylko w tej aplikacji....
Moja strona rejestru prawidłowo wyświetla formularz z CsrfToken ( {{ csrf_field() }}) obecnym w formularzu). Formularz HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Używam wbudowanego...
Mam aplikację rails, która obsługuje niektóre interfejsy API do aplikacji na iPhone'a. Chcę móc po prostu opublikować post na zasobie, nie myśląc o uzyskaniu prawidłowego tokena CSRF. Wypróbowałem kilka metod, które widzę tutaj w przepływie stosu, ale wygląda na to, że nie działają już na szynach...
To pytanie dotyczy tylko ochrony przed atakami typu Cross Site Request Forgery. Chodzi w szczególności o: Czy ochrona za pośrednictwem nagłówka Origin (CORS) jest tak dobra, jak ochrona za pośrednictwem tokenu CSRF? Przykład: Alicja jest zalogowana (używając pliku cookie) w swojej przeglądarce...
Próbuję trochę zabezpieczyć formularze w mojej witrynie. Jeden z formularzy korzysta z technologii AJAX, a drugi to prosty formularz „skontaktuj się z nami”. Próbuję dodać token CSRF. Problem, który mam, polega na tym, że token pojawia się tylko czasami w „wartości” HTML. Przez resztę czasu...
Po skonfigurowaniu Spring Security 3.2 _csrf.tokennie jest powiązany z żądaniem ani obiektem sesji. Oto konfiguracja zabezpieczeń wiosny: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login...
Zainstalowałem Laravel 5.7 Dodano formularz do pliku \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Dodano do pliku
Jak mogę pobrać token CSRF do przekazania z żądaniem JSON? Wiem, że ze względów bezpieczeństwa Railsy sprawdzają token CSRF na wszystkich typach żądań (w tym JSON / XML). Mógłbym włożyć kontroler skip_before_filter :verify_authenticity_token, ale straciłbym ochronę CRSF (nie wskazane :-)). Ta...
Buduję usługę sieciową, która używa wyłącznie formatu JSON do obsługi żądań i odpowiedzi (tj. Żadnych ładunków zakodowanych w formularzu). Czy usługa internetowa jest podatna na atak CSRF, jeśli spełnione są następujące warunki? Każde POSTżądanie bez obiektu JSON najwyższego poziomu, np.,...