6
ответов

Достаточна проверка сервера заголовка X-Requested-With для защиты от CSRF для ajax-управляемого приложения?

Я работаю над полностью ajax-управляемым приложением, куда все запросы проходят через то, что в основном составляет основной контроллер, который, в его скелете, выглядит примерно так: если (strtolower ($...
вопрос задан: 15 May 2016 08:01
6
ответов

Разве CSRF не является проблемой безопасности браузера?

Относительно нападений подделки запроса перекрестного сайта (CSRF), если cookie являются наиболее используемым методом аутентификации, почему веб-браузеры разрешают передающие куки некоторого домена (и к тому домену) от сгенерированной страницы...
вопрос задан: 22 October 2008 18:44
5
ответов

Как устранить исключение AntiForgeryToken, которое возникает после iisreset в моем приложении ASP.Net MVC?

У меня проблемы с AntiForgeryToken в ASP.Net MVC. Если я выполняю iisreset на своем веб-сервере, и пользователь продолжает сеанс, он переходит на страницу входа. Не страшно, но тогда ...
вопрос задан: 29 November 2011 10:16
4
ответа

Ошибка CSRF в Django

Я хочу реализовать логин для моего сайта. Я в основном скопировал и вставил следующие фрагменты из Книги Джанго вместе. Однако я все еще получаю сообщение об ошибке (проверка CSRF не выполнена. Запрос прерван.), Когда
вопрос задан: 7 July 2010 17:32
4
ответа

Маркерное поколение CSRF

Это - вопрос о генерации маркеров CSRF. Обычно я хотел бы генерировать маркер, базирующийся прочь уникальной части данных, связанных с сессией пользователя, и хешированных и соленых с секретным ключом...
вопрос задан: 20 May 2010 23:02
4
ответа

Как использовать Хеш Формы Платформы Зенда (маркер) с Ajax

Я включал Zend_Form_Element_Hash в форму multiplecheckbox форма. Мне установили jQuery для исчерпывания запроса Ajax, когда флажок нажат, я передаю маркер с этим запросом Ajax. Первое...
вопрос задан: 21 March 2010 13:08
3
ответа

Действительно ли проверка является ссылающимся доменом достаточно для защиты от нападения CSRF?

Действительно ли проверка является ссылающимся доменом достаточно для защиты от перекрестного нападения подделки запроса сайта? Я знаю, что ссылающийся домен может имитироваться, но является там каким-либо способом для взломщика сделать это ДЛЯ клиента? Я
вопрос задан: 25 October 2018 10:31
3
ответа

Как я защищаю свой JsonResult, ПОЛУЧАЮТ вызовы?

Я знаю, как использовать атрибут AntiForgeryToken MVC, и он связал помощника HTML, чтобы помочь XSRF-защитить СООБЩЕНИЯ формы моего приложения. Может что-то подобное может быть сделано для JsonResults та реализация...
вопрос задан: 23 May 2017 11:47
3
ответа

Понимание CSRF

Я не понимаю, как использование 'маркера проблемы' добавило бы любой вид предотвращения: какое значение должно по сравнению с какой? От OWASP: В целом разработчики должны только генерировать этот маркер однажды для...
вопрос задан: 12 May 2015 09:59
3
ответа

Как я обеспечиваю больше безопасности для проверки источника запроса

Я разрабатываю одно веб-приложение PHP, я хочу предоставить больше безопасности приложению так, чтобы никто не мог легко повредить функциональность. Краткое объяснение о моей проблеме: В одном модуле существует...
вопрос задан: 20 March 2015 07:43
3
ответа

Безопасно ли показывать токен защиты CSRF сеанса?

Django поставляется с промежуточным программным обеспечением защиты CSRF, которое генерирует уникальный токен для каждого сеанса для использования в формах. Он сканирует все входящие запросы POST на правильный токен и отклоняет запрос, если ...
вопрос задан: 23 July 2013 15:47
3
ответа

Как предотвратить воспроизведение/атаку "человек посередине" формы в PHP, csrf, xsrf

У меня есть веб-форма, и я использую PHP. Я знаю, что формами можно управлять (я полагаю, что это назвало атаку с повторением пакетов или атаку "человек посередине"). Таким образом, я хотел бы использовать некоторый маркер подлинности в качестве
вопрос задан: 9 August 2012 08:57
3
ответа

GWT RPC - Это делает достаточно для защиты от CSRF?

ОБНОВЛЕНИЕ: GWT 2.3 представляет лучший механизм для борьбы с нападениями на XSRF. Посмотрите GWT's http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf.html, на котором механизм RPC делает следующие вещи...
вопрос задан: 8 September 2011 07:11
3
ответа

Уязвимость CSRF / вопрос о cookie

Просто хочу быть введенным от людей, которые знают. Я рассматривал уязвимости CSRF, и по-видимому самый популярный метод, который я знаю для борьбы против него. Тот метод должен создать маркер в...
вопрос задан: 24 June 2010 13:28
3
ответа

Symfony 1.4: Пользовательское сообщение об ошибке для CSRF в формах

Может любой говорить мне, где/как настроить маркерное сообщение об ошибке CSRF для форм в Symfony 1.4. Я использую sfDoctrineGuard для логинов и в этой форме особенно, каждый раз, когда сессия заканчивается и Вы...
вопрос задан: 5 April 2010 12:40
3
ответа

Форма функционального тестирования с CSRF, включенным в Symfony

Каков лучший способ создать функциональные испытания для тестирования форм с защитой CSRF, включенной в Symfony? В настоящее время я должен добавить следующий код перед каждой формой submittion: $form = новый...
вопрос задан: 20 February 2010 00:30
3
ответа

Платформа Django CSRF не может быть отключена и повреждает мой сайт

django csrf промежуточное программное обеспечение не может быть отключен. Я прокомментировал это из своего Промежуточного программного обеспечения моего проекта, но мои логины перестали работать из-за недостающих проблем CSRF. Я работаю от соединительной
вопрос задан: 30 October 2009 17:28
3
ответа

Проверьте Источник ФОРМЫ POST, чтобы гарантировать, что это прибыло из того же сервера/приложения

Я хочу, находят решение агностика платформы/языка обеспечения источника ФОРМЫ, которая POST из ожидаемого источника. Т.е. регистрация Page1.aspx на Page2.php в том же веб-сайте. Конкретно, что я...
вопрос задан: 23 July 2009 15:51
3
ответа

Как делают Вас Модульный тест Zend_Form, который включает элемент формы CSRF?

Я использую CSRF скрытый элемент хеша с Zend_Form и пробую к Модульному тесту вход в систему, но не знаю, как записать Модульный тест для включения того элемента. Посмотревший в документах и читают как много учебных руководств...
вопрос задан: 10 July 2009 18:26
3
ответа

Как лучше всего предотвратить нападения на CSRF в приложении GAE?

Так, что лучший способ состоит в том, чтобы предотвратить нападение XSRF для приложения GAE? Вообразите следующее: Любой видит общедоступный объект пользователя и дб. Образцовый идентификатор используется в запросе для выяснения который...
вопрос задан: 15 October 2008 20:28
2
ответа

каково использование маркерной соли антиподделки?

В ASP.NET MVC 1.0 существует новая возможность для обработки перекрестной проблемы безопасности подделки запроса сайта: <% = HTML. AntiForgeryToken () %> [ValidateAntiForgeryToken] ViewResult SubmitUpdate общественности () {...
вопрос задан: 21 May 2015 23:31
2
ответа

Как обработать проверку CSRF в Yii2 Framework?

У меня проблема с проверкой CSRF в yii2. Проверка корректно работает с формой по умолчанию, сгенерированной gii, но когда я редактирую форму с тегами html, то отправка формы вызывает ошибку ...
вопрос задан: 12 February 2015 09:29
2
ответа

Как предотвратить CSRF в УСПОКОИТЕЛЬНОМ приложении?

Перекрестная подделка запроса сайта (CSRF), обычно предотвращают с одним из следующих методов: Проверьте ссылающийся домен - УСПОКОИТЕЛЬНЫЙ но ненадежный маркер вставки в форму и сохраните маркер на сессии сервера - нет...
вопрос задан: 27 June 2013 14:30
2
ответа

CSRF (Подделка запроса перекрестного сайта) нападают на пример и предотвращение в PHP

У меня есть веб-сайт, куда люди могут поместить голосование как это: http://mysite.com/vote/25 Это поместит голосование по объекту 25. Я хочу только сделать это доступным для зарегистрированных пользователей, и только если они хотят...
вопрос задан: 27 July 2012 03:31
2
ответа

Нужен ли мне CSRF-токен для jQuery .ajax()?

Итак, у меня есть базовый метод .ajax() POST к PHP-файлу. Какие меры безопасности мне нужны? В нескольких сообщениях упоминалось использование скрытого поля ввода MD5, которое вы отправляете через AJAX и проверяете в ...
вопрос задан: 1 February 2012 02:25
2
ответа

Как я могу встроить django csrf маркер прямо в HTML?

в рамках моего django приложения я храню строки HTML в дб, который будет затем отображен на домашних страницах пользователей как "сообщения". Некоторые из этих сообщений содержат формы, но не записанный в...
вопрос задан: 20 July 2010 13:04
2
ответа

Мой Ajax jQuery POST запрашивает работы, не отправляя Маркер Подлинности (направляющие)

Есть ли какие-либо условия в направляющих, которые позволили бы всему Ajax запросы POST от сайта для передачи без authenticity_token? У меня есть POST JQuery ajax вызов, который называет метод контроллера, но я сделал...
вопрос задан: 17 June 2010 07:07
2
ответа

Защита CSRF путем хранения данного случая в Переменной сеанса и форме

Для защиты от CSRF, необходимо поместить данный случай в скрытое поле в форме, и в cookie или в переменной сеанса. Но что, если пользователь открывается на несколько страниц на различных вкладках? В этом случае каждый...
вопрос задан: 12 February 2010 07:36
2
ответа

AntiForgeryToken в ASP.NET MVC предотвращают против всех нападений на CSRF?

Используя AntiForgeryToken требует, чтобы каждый запрос передал допустимый маркер, таким образом, злонамеренные веб-страницы с простым сценарием, отправляющим данные на мое веб-приложение, не успешно выполнятся. Но что, если злонамеренный сценарий будет..
вопрос задан: 25 January 2010 20:34
2
ответа

Платформа Django CSRF, имеющая много отказов

Я получаю много отказов от промежуточного программного обеспечения Django CSRF на моем сайте (версия от соединительной линии SVN.) Единственные ошибки, которые я получаю: отказ CSRF: маркерные пропавшие без вести reason=CSRF или неправильный. Как мог я...
вопрос задан: 19 November 2009 18:59