0
ответов
Поместите CSRF в заголовки весной 4.0.3 + Spring Security 3.2.3 + Thymeleaf 2.1.2
У меня есть следующий код: <! DOCTYPE html > < html xmlns: th = "http://www.thymeleaf.org" > < & головка GT; < meta name = "_ csrf" th: content = "$ {_ csrf.token}" / > <! - заголовок по умолчанию ...
вопрос задан: 19 July 2018 09:41
0
ответов
Возможен ли CSRF с помощью методов PUT или DELETE?
Возможен ли CSRF с помощью методов PUT или DELETE? Или использование PUT или DELETE предотвращает CSRF?
вопрос задан: 3 May 2018 05:38
0
ответов
Rails: как работает csrf_meta_tag?
Я PHP-разработчик, изучаю Ruby on Rails, читая учебник Майкла Хартла. Вот цитата из книги, относящаяся к csrf_meta_tag: ...метод csrf_meta_tag Rails [предотвращает] межсайтовый...
вопрос задан: 22 January 2018 20:23
0
ответов
Как устранить ошибку KeyError: «Для использования CSRF необходим секретный ключ». при использовании wtform в колбе?
Я пытался создать веб-приложение с использованием flask и wtforms и базы данных firebase, но получаю сообщение об ошибке «KeyError:« Для использования CSRF требуется секретный ключ », и я не знаю, как ... ,
вопрос задан: 7 December 2017 03:51
0
ответов
CSRF-токен и XSS-уязвимость.
Допустим, мы используем CSRF-токен в наших формах, но бывает, что на нашем сайте есть незамеченная XSS-дыра. Насколько я понимаю, защита CSRF-токена в этом случае полностью недействительна, потому что...
вопрос задан: 17 November 2017 04:17
0
ответов
Отключить защиту CSRF для определенного шаблона URL в Spring Boot
Я использую Spring Boot и Spring Security для создания своего веб-проекта. Я хочу отключить защиту CSRF для определенного шаблона URL, чтобы обеспечить API для устройств Android. Использование Как отключить CSRF в Spring ...
вопрос задан: 3 August 2017 17:47
0
ответов
Почему политики одного происхождения недостаточно для предотвращения CSRF-атак?
Прежде всего, я предполагаю, что бэкэнд управляет входами, чтобы предотвратить уязвимости XSS. В этом ответе @Les Hazlewood объясните, как защитить JWT на стороне клиента. Предполагая 100% TLS для всех ...
вопрос задан: 23 May 2017 12:26
0
ответов
Как предотвратить автоматические атаки AJAX
Как запретить ПОЛЬЗОВАТЕЛЮ делать автоматические сообщения / спам? Вот мой способ сделать это, новый сеанс php для каждого запроса страницы, который имеет свои ограничения, без мультитабинга. Я использовал новую сессию для каждого ...
вопрос задан: 23 May 2017 12:21
0
ответов
Rails 4 пропускает protect_from_forgery для действий API
Я реализую приложение Rails 4 с помощью API. Я хочу иметь возможность вызывать API с мобильных телефонов и самого веб-приложения. Я наткнулся на эту заметку при исследовании protect_from_forgery: ...
вопрос задан: 23 May 2017 12:18
0
ответов
rails - «ПРЕДУПРЕЖДЕНИЕ: не удается проверить подлинность токена CSRF» для запросов на разработку json
Как получить токен CSRF для передачи с помощью запрос JSON? Я знаю, что по соображениям безопасности Rails проверяет токен CSRF для всех типов запросов (включая JSON / XML). Я мог бы вставить свои ...
вопрос задан: 23 May 2017 12:17
0
ответов
Метод POST всегда возвращает 403 Forbidden
Я прочитал Django - проверка CSRF не удалась и несколько вопросов (и ответов), связанных с методом django и POST. Один из лучших, но не работающих для меня ответов : https://stackoverflow.com/a/...
вопрос задан: 23 May 2017 12:16
0
ответов
Rails - Проигрыш сеанса с тестами интеграции и Capybara - связан с CSRF?
Я использую Rails 3.1.0.rc4, и я работаю над интеграционными тестами с новыми Steak-подобными DSL и Rspec от capybara (с использованием аутентификации Devise). У меня проблема в том, что когда я запускаю интеграцию ...
вопрос задан: 23 May 2017 12:13
0
ответов
включить антифоргегокен в ajax пост ASP.NET MVC
У меня проблемы с AntiForgeryToken с ajax. Я использую ASP.NET MVC 3. Я пробовал решение в вызовах jQuery Ajax и Html.AntiForgeryToken (). Используя это решение, токен теперь ...
вопрос задан: 23 May 2017 12:02
0
ответов
Как `while (1) {}` помогает предотвратить CSRF? [дубликат]
Возможный дубликат: Почему в ответе XmlHttpRequest есть "while(1);"? Что делает while(1) в Gmail Я недавно наткнулся на практику добавления в AJAX-возвращаемые данные ...
вопрос задан: 23 May 2017 11:59
0
ответов
Настраиваемая кнопка, безопасная для CSRF, связанная с методом Apex
Я ищу способ выполнения кода Apex с помощью пользовательской кнопки, добавленной к объекту Opportunity, таким образом, чтобы защитить пользователя от CSRF. Используемый в настоящее время подход исходит из ...
вопрос задан: 23 May 2017 11:53
0
ответов
Хеширование Javascript в вызовах входа AJAX, больше безопасности?
Судя по множеству сообщений, которые я видел на сайте, вход в систему, выполняемый с помощью AJAX или традиционных форм, столь же безопасен как друг друга. (re: Файлы cookie для входа / сеанса, Ajax и безопасность Ajax-логин и javascript ...
вопрос задан: 23 May 2017 11:47
0
ответов
django csrf_token не печатает скрытое поле ввода
my views.py: from django.core.context_processors import csrf
из django.views.decorators.csrf import csrf_protect
из импорта django.http *
из импорта django.template *
из django.shortcuts ...
вопрос задан: 23 May 2017 10:28
0
ответов
0
ответов
jQuery Ajax-вызовы и Html.AntiForgeryToken ()
Я реализовал в своем приложении защиту от CSRF-атак. следуя информации, которую я прочитал в каком-то блоге в Интернете. В частности, этот пост был драйвером моего ...
вопрос задан: 23 May 2017 02:34
0
ответов
Получить список файлов из TFS
Я пытаюсь понять, как получить список файлов из определенной папки ("$ / theproject / trunk / setup /") в TFS, не помещая их в локальную папку. Пока мне удалось подключиться, создать ...
вопрос задан: 17 March 2017 13:14
0
ответов
Ошибка проверки Django CSRF с запросом Ajax POST
Я мог бы использовать некоторую помощь в соответствии с механизмом защиты Django CSRF через мое сообщение AJAX. Я следовал инструкциям здесь: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Я скопировал ...
вопрос задан: 13 April 2016 03:11
0
ответов
ПРЕДУПРЕЖДЕНИЕ: не удается проверить подлинность токена CSRF, рельсы
Я отправляю данные из представления в контроллер с помощью AJAX, и я получил эту ошибку: ПРЕДУПРЕЖДЕНИЕ : Не могу проверить подлинность токена CSRF. Думаю, мне нужно отправить этот токен с данными. Кто-нибудь знает, как я могу сделать ...
вопрос задан: 7 January 2016 14:29
0
ответов
Как работает AntiForgeryToken work
Я пытаюсь защититься от CSRF, и у меня есть два сценария: выполнение POST с другого сайта и сбой, когда я включаю AntiForgeryToken
Я пробовал использовать свой "вредоносный" Javascript (работающий на ...
вопрос задан: 14 November 2015 21:32
0
ответов
ASP.NET MVC HTML.AntiForgeryToken() with multiple AJAX requests from one page
I'm creating a page that makes multiple AJAX form posts without a page refresh. I would like to use the ASP.NET MVC HTML.AntiForgeryToken() helper to secure the form against CSRF attacks. I think ...
вопрос задан: 14 November 2015 21:14
0
ответов
Безопасность Cakephp
Я новичок в безопасности веб-приложений. Я разрабатываю приложение на Cakephp, и один из моих друзей рассказал мне об атаках с подделкой межсайтовых запросов (CSRF) и межсайтовым скриптингом (XSS) и т. Д., Но не…
вопрос задан: 3 July 2015 12:21
0
ответов
Можно ли использовать (криптографически стойкий) файл cookie сеанса в качестве токена CSRF?
Читая шпаргалку OWASP по предотвращению CSRF, один из методов, предложенных для предотвращения такого рода атак, — шаблон токена синхронизатора. Если токен сеанса является криптографически стойким, может ли он...
вопрос задан: 24 August 2014 16:58
0
ответов
Для чего на самом деле нужна защита от CSRF?
Я давно слышал о CSRF, и чаще всего слышу следующее: :Защита от CSRF-атак важна, чтобы кто-то не отправил вашу форму автоматически, (используя файл...
вопрос задан: 8 August 2014 21:03
0
ответов
Ошибка: неправильно настроен csrf - Express JS 4
Я пытаюсь включить модуль csrf в Express 4 в существующем приложении. Я добавил следующий код: var csrf = require ('csurf') ... app.use (csrf ()); Я запустил свое приложение, и я ...
вопрос задан: 2 June 2014 14:58
0
ответов
защита от CSRF для ajax-запросов и форм без кнопок отправки
Я новичок в веб-безопасности. Мне было интересно, как правильно использовать токены в ajax-запросах и формах без кнопок отправки (, т.е. обновлений статуса)для защиты от CSRF. Может кто-нибудь...
вопрос задан: 6 February 2014 02:33
0
ответов
Правильная настройка CORS предотвращает XSRF?
Если CORS правильно настроен на сервере, чтобы разрешить доступ к серверу только определенным источникам, достаточно ли этого для предотвращения атак XSRF?
вопрос задан: 5 November 2013 16:19