Публикации по теме 'csrf-protection'
Двойная отправка шаблона cookie
Шаблон файла cookie с двойной отправкой
Сегодня я собираюсь обсудить еще один метод CSRF защиты.
Это метод Double Submit Cookie Pattern.
Что такое шаблон cookie с двойной отправкой?
Двойная отправка файлов cookie отправляет случайное значение как в файле cookie, так и в качестве параметра запроса, поэтому сервер проверяет, совпадают ли значение файла cookie и значение запроса.
Как это работает?
Когда пользователь аутентифицируется на веб-сайте, сайт должен сгенерировать..
Вопросы по теме 'csrf-protection'
Требуется токен CSRF при использовании аутентификации без сохранения состояния (= без сеанса)?
Необходимо ли использовать защиту CSRF, когда приложение использует аутентификацию без сохранения состояния (используя что-то вроде HMAC)?
Пример:
У нас есть одностраничное приложение (в противном случае мы должны добавлять токен к каждой...
60932 просмотров
schedule
29.11.2021
Почему моя конфигурация безопасности Spring, похоже, отклоняет действительный токен csrf
Я изучал Spring Security (и фронтенд-разработку), пройдя несколько руководств. Однако меня очень сбивают с толку токены CSRF, и я явно делаю что-то не так.
Моя Spring Security настроена с использованием java, и когда я отключаю CSRF (используя...
9837 просмотров
schedule
15.10.2021
Как я могу предотвратить атаку csrf на классическом сайте asp?
У меня есть приложение, разработанное на vb6 и классическом asp (12 лет назад). Теперь я должен предотвратить это от подделки межсайтовых запросов (CSRF).
Как я могу этого добиться?
6230 просмотров
schedule
16.10.2021
Токен CSRF на запрос в весенней безопасности
Как реализовать csrf для каждого запроса в Spring Security 3.2. В настоящее время он обрабатывается для каждого сеанса. Это обязательное требование
Пожалуйста, опубликуйте изменения, которые необходимо внести.
в securitycontext.xml...
2750 просмотров
schedule
04.10.2021
Уникальный токен формы отключает многозадачность для пользователя
Если я хочу защитить свой сайт и пользователей от атак Cross Site Forgery (CSRF), я могу создать уникальный токен $token = md5( time() * rand ); на каждой странице , содержащей форму. Токен отправляется в скрытое поле ввода echo '<input...
339 просмотров
schedule
04.03.2022
Как невозможно подделать заголовок Referer во время атаки CSRF?
Предположим, что единственная защита приложения от атак CSRF - это проверка заголовка referer на предмет того же источника. Предположим также, что все браузеры будут отправлять заголовок referer (хотя это не всегда так).
Я читал, что пользователю...
2897 просмотров
schedule
11.03.2022
AntiForgeryToken недействителен после входа в систему
У меня есть форма, которую пользователь может опубликовать без входа в систему. Однако, если его электронная почта распознана, требуется пароль. Форма пароля проверяется через Ajax, и в случае успеха отправляется основная форма. Для обеих форм...
4360 просмотров
schedule
09.04.2022
Внутренняя ошибка сервера после отправки формы с включенной защитой CSRF в codeigniter
Я использую Codeigniter 3.1.3 и включил защиту CSRF в файле конфигурации. Почему-то я всегда получаю 500 (внутренняя ошибка сервера) от ajax $.post, если форма проходит проверку. Я не получаю эту ошибку, если проверка не удалась. Есть...
1078 просмотров
schedule
21.04.2022
Django проверяет токен CSRF вручную
Я реализую API, который работает либо с ключом API, либо с токеном CSRF. Цель состоит в том, чтобы его можно было использовать либо веб-приложением (защищенным CSRF), либо сторонним приложением (защищенным ключом API).
В основном при каждом...
6777 просмотров
schedule
24.04.2022
Защита CSRF и стратегия сеанса заголовка Spring Session
В моем API для отдыха на основе spring я использую spring-session с HeaderHttpSessionStrategy. Учитывая, что файлы cookie вообще не используются (идентификатор сеанса отправляется в виде заголовка), нужно ли мне все еще беспокоиться об атаках CSRF?...
706 просмотров
schedule
03.05.2022
Как защитить веб-API от CSRF-атаки, если она вызывается из междоменного клиента?
У меня есть веб-API, который вызывается междоменным клиентским приложением, разработанным на angular. Как я могу защитить свой веб-API от атаки CSRF.
Я использую аутентификацию на основе токенов
Я просмотрел следующую статью Майка Уоссона...
253 просмотров
schedule
10.05.2022
Сгенерировано слишком много токенов CSRF (PHP), как мне с ними справиться?
Я столкнулся с проблемой. Следуя шпаргалке OWASP, я реализовал систему одноразовых токенов CSRF на PHP (в основном копирование и вставка из OWASP). Каждая форма или ссылка (ссылка, которая генерирует какое-либо действие) создаст свой собственный...
916 просмотров
schedule
18.05.2022
Токены CSRF не соответствуют тому, что находится в сеансе (Rails 4.1)
Мы наблюдаем неприятную и, вероятно, проблему аутентификации токена CSRF на основе браузера в нашем приложении Rails 4.1. Мы публикуем его здесь, чтобы спросить сообщество, видят ли его другие.
Имейте в виду, что большинство инструментов для...
2289 просмотров
schedule
05.07.2022
Представляет ли угрозу безопасности включение «токена CSRF» на страницы, не требующие аутентификации?
У меня есть сайт Django, который использует токен Django csrf для защиты от атак csrf. К одной из форм могут получить доступ все, в том числе люди, которые не вошли в систему.
Предполагается, что токен Csrf обеспечивает защиту от междоменных...
1888 просмотров
schedule
13.07.2022
Токен CSRF из расширения браузера
У меня есть экспресс-приложение, использующее krakenjs/lusca для защиты от CSRF-атак, которое работает для всех маршрутов в моем домене. Однако у меня также есть расширение Chrome, которое я хотел бы использовать для POST в приложение из любого...
975 просмотров
schedule
21.07.2022
Spring Boot и CSRF с AngularJS — Forbitten 403 — неправильный выход
В моем приложении Spring Boot/AngularJS у меня есть следующая конфигурация CSRF:
@Override
protected void configure(final HttpSecurity http) throws Exception {
http.csrf().csrfTokenRepository(csrfTokenRepository());...
893 просмотров
schedule
19.07.2022
Безопасно ли генерировать токен CSRF на той же странице, что и защищенная форма?
В настоящее время у меня есть эти две функции: одна для генерации токена и одна для проверки действительности:
function getToken() {
if(isset($_SESSION['token'])) {
return $_SESSION['token'];
} else {
$token = //random key...
861 просмотров
schedule
27.07.2022
Проблемы при реализации токена сеанса PHP
Я пытаюсь внедрить защиту CSRF в веб-форму. Это одностраничный веб-сайт, который собирает данные, отправляет их в файл PHP, который затем отправляет мне информацию по электронной почте. Веб-страница функционирует по назначению (за вычетом...
211 просмотров
schedule
19.08.2022
Причины спонтанного отклонения токена подлинности на производственной площадке
Мое приложение Rails время от времени выдает ActionController::InvalidAuthenticityToken. Это происходит спонтанно раз в месяц или около того. Поскольку я не думаю, что есть какой-то другой сайт, пытающийся атаковать CSRF, я начал размышлять об этом...
953 просмотров
schedule
31.08.2022
Rails 5.0.0beta3: ActionController::InvalidAuthenticityToken в разработке
Я только что запустил простое приложение с парой форм на Rails 5.0.0beta3.
В разработке, используя http://localhost:3000 в Safari или Chrome для доступа к приложению, если я заполню форму и отправлю это я всегда получаю ошибку...
1918 просмотров
schedule
05.10.2022