csrf

0熱度

1回答

我發佈表單使用HTMLUnit webClient通過把用戶名和密碼，但它不能登錄我。當我研究，然後發現他們已啓用csrf對發佈請求所以需要原生的web瀏覽器。有沒有辦法在csrf使用HTMLUnit或Java中的其他任何工具啓用網站登錄（張貼表單）或者它是不可能的？

0熱度

1回答

安全令牌問題請求

構建應用程序，當我使用一個令牌，以防止對形式的攻擊每一種形式呈現它得到一個新的ONE TIME安全令牌的時間，我包括形式爲隱藏的領域。該令牌也存儲在會話中。當表單被髮送時，會根據會話中的令牌驗證令牌以確保表單是合法的。這對標準頁面非常有用。問題使用Ajax發送表單時，可能有多個頁面上，一旦你送的這些形式之一，令牌，然後換了別人作爲一個一次性權無效。有沒有人有建議呢？還是足夠安全，可以在每

1熱度

3回答

客戶端生成雙重提交cookie，跨網站請求防僞

在雙重提交cookie csrf預防方案，是否需要爲服務器提供cookie？看來我可以在客戶端頁面上生成javascript並設置一個cookie「anti_csrf」，然後雙擊提交（一次作爲cookie，由瀏覽器完成，一次在請求正文中）。一個外地域將無法讀取或寫入「anti_csrf」cookie以將其包含在請求的主體中。這是安全的，還是我俯視的東西？

7熱度

6回答

Symfony 1.4：CSRF格式的自定義錯誤消息

任何人都可以告訴我在Symfony 1.4中的表單如何自定義CSRF令牌錯誤消息。我使用sfDoctrineGuard進行登錄，特別是在這種形式下，無論何時會話用完，並且您仍然打開頁面，它都會引發非用戶不友好的錯誤：「檢測到CSRF攻擊」。像「此會話已過期，請返回主頁再試一次」聽起來更好。什麼是在窗體類中做到這一點的正確方法？謝謝。

3熱度

2回答

你如何防止特定CSRF攻擊

我要去線槽OWASP十大名單2007和2010。我偶然發現了跨站點請求僞造（CSRF），因爲您讓用戶使用他的會話來實現您的願望，所以這通常稱爲會話騎乘。現在，解決方案是爲每個網址添加一個令牌，併爲每個鏈接檢查此令牌。例如，要對產品進行投票X的網址是： 'http://mysite.com?token=HVBKJNKL' 這看起來像一個堅實的解決方案，因爲黑客無法猜測令牌。但是我想以下情

10熱度

4回答

GWT RPC - 它是否足以抵禦CSRF？

更新：GWT 2.3引入了一個更好的機制來對抗XSRF攻擊。見http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf.html GWT公司RPC機制並在每個HTTP請求下面的東西 - 設置了兩個自定義請求頭 - X-GWT置換和X-GWT-模塊-基地集內容類型爲text/x-gwt-rpc; charset = u

3熱度

2回答

爲了確保表格，我何時發出令牌？

所以，我有一個表單，使它更安全一些，可能有助於防止CSRF攻擊我想在隱藏字段中添加一個隨機標記值，該值也存儲在服務器端的會話數據中。什麼時候應該發出新的令牌？按表格？每頁加載哪裏有任何形式？每次會話？一旦表單成功提交，我可以將其呈現爲無效，但我想知道何時生成表單。我問我好像每張表格或每頁都發出一張表格嗎？如果用戶打開一個單獨的窗口，但是提交第一個表格（現在使用），我不會冒險重複標記值覆蓋現有（

3熱度

1回答

是一個在Google App Engine上運行的GWT應用程序，受CSRF保護

我正在開發一個在Google App Engine上運行的GWT應用程序，並想知道我是否需要擔心跨網站請求僞造或者是否會自動照顧我？對於需要驗證每一個RPC請求，我有以下代碼： public class BookServiceImpl extends RemoteServiceServlet implements BookService { public void deleteInv

0熱度

1回答

爲什麼在Web應用程序中禁用REFRESH是個好主意（出於安全目的）

我們正在爲我們的代碼進行XSRF修復。我們使用會話令牌來請求令牌比較方法來實現這一點。在會話令牌不等於請求令牌的情況下，我們將重定向到錯誤頁面。問題：一旦我們進入Main Menu頁面，如果用戶「刷新」頁面，就會拋出XSRF問題。原因：因爲不會有任何請求令牌（當我們做頁面刷新時）。因爲請求標記爲NULL，並且它不等於會話標記，所以它引發了XSRF錯誤。該應用程序的用戶對此方法並不滿意。那麼有

0熱度

1回答

爲什麼在啓用csrf中間件的情況下訪問wap django應用程序時出現403錯誤？

有什麼想法？從桌面瀏覽器訪問時，一切正常。