csrf

    8熱度

    1回答

    使用MVC2的AJAX請求中的CSRF保護

    我正在構建的頁面在很大程度上取決於AJAX。基本上,只有一個「頁面」,每個數據傳輸都是通過AJAX處理的。由於瀏覽器端的過度優化緩存會導致奇怪的問題(數據未重新載入),所以我必須使用POST執行所有請求(也讀取) - 這會強制重新加載。 現在我想阻止頁面對CSRF。使用表單提交,使用Html.AntiForgeryToken()工作整齊,但在AJAX請求中,我想我將不得不手動追加令牌?有沒有什麼可
    asp.net ajax security asp.net-mvc-2 csrf 2010-02-28

    2熱度

    2回答

    Ajax是否要求CSRF安全?

    如果我的Ajax請求設置了X-Requested-With標題,如果此標題存在,我可以跳過CSRF檢查嗎?我可以確定它不能被僞造(用戶會話)嗎?
    ajax csrf 2010-03-01

    66熱度

    6回答

    如何在RESTful應用程序中防止CSRF?

    跨站請求僞造(CSRF)通常用以下方法之一預防: 檢查引薦 - RESTful的,但不可靠 插入令牌到形式存儲在服務器會話令牌 - 沒有真正的RESTful 隱蔽一次的URI - 不是的RESTful出於同樣的原因如令牌 手動發送密碼此請求(不與HTTP認證中使用的緩存的密碼) - 的RESTful但不方便 我的想法是使用用戶祕密,一個神祕但靜態的表單id和JavaScript來生成令牌。 <fo
    security http rest authorization csrf 2010-03-06

    16熱度

    1回答

    我是否有POST風險的CSRF攻擊風險,不需要用戶登錄?

    我可能在這裏是一個總的noob,但我仍然不確定CSRF(跨站點請求僞造)攻擊究竟是什麼。因此,讓我們看看三種情況... 1)我有一個POST表單,用於編輯我網站上的數據。我想要這些數據被編輯只有登錄的用戶。 2)我有一個網站,既可以登錄的用戶也可以使用客人。部分網站僅用於登錄用戶,但也有所有用戶都可以使用的POST表單 - 匿名而非(例如標準聯繫表單)。聯繫表格是否應該受到CSRF攻擊的保護? 3
    security csrf 2010-03-07

    0熱度

    1回答

    帶有自定義身份驗證後端的Django,是Csrf中間件真正需要的嗎?

    在Django的1.1.1,我使用的幾種身份驗證的後端,比如social-registration爲Facebook連接和django-emailauth基於電子郵件的認證,而不是用戶名。 我很好奇,如果CSRF中間件是一個重要的安全措施,因爲它看起來像它有時會產生問題,尤其是與Facebook連接。 我的項目很簡單。每個用戶都有一個他們可以填寫的個人資料和一個購買頁面,在那裏他們填寫付款以進行購
    django security csrf 2010-03-08

    1熱度

    3回答

    我們應該在JSP中放置HIDDEN變量

    我需要在JSP中使用隱藏變量進行會話跟蹤。這是代碼: <input type="hidden" name="REQ_TOKEN" value="<%=session.getAttribute("SESN_TOKEN").toString()%>" /> 我用這比較與會話令牌請求令牌,所以只有當兩者相等,我會評估該請求,否則我將拋出一個錯誤。 現在的問題是,當我把這個代碼放入<form></fo
    html jsp csrf 2010-03-18

    1熱度

    2回答

    使CSRF中間件在Django的404錯誤頁面中工作

    我在Django項目中將404.html中的關鍵字搜索框放在一個單獨的登錄框中,以防萬一發生404錯誤,訪問者獲得更多選項以跳轉到其他部分。 但CSRF中間件不能在404錯誤頁面中工作,且不顯示csrf標記。我嘗試將'django.middleware.csrf.CsrfViewMiddleware'移動到settings.py中的第一個MIDDLEWARE_CLASSES,但是也沒有工作。 任何
    python django csrf middleware 2010-03-19

    17熱度

    6回答

    如何在AJAX中使用Zend Framework窗體哈希(令牌)

    我已經將Zend_Form_Element_Hash包含在窗體multiplecheckbox窗體中。當我點擊一個複選框時,我有jQuery設置爲觸發一個AJAX請求,我通過這個AJAX請求傳遞令牌。第一個AJAX請求很好,但後來的失敗。 我懷疑它可能是一旦令牌已被驗證它然後從會話中刪除(跳= 1)。 什麼是你的計劃的攻擊,以確保使用Zend Framework Hash的表單,但使用AJAX來完
    ajax zend-framework zend-form csrf 2010-03-19

    1熱度

    3回答

    作爲請求令牌的JSF視圖ID

    我讀過某處JSF框架使用的視圖ID具有充當請求令牌並因此阻止CSRF的快樂副作用。有人可以告訴我這是否意味着我不必從編程的角度(即)做任何事情。作爲一名程序員,如果我使用JSF,我不必擔心CSRF?
    java jsf token csrf 2010-03-25

    44熱度

    3回答

    CSRF(跨站請求僞造)在PHP

    例如攻擊和防範我有一個網站,人們可以把這樣的投票: http://mysite.com/vote/25 這將會把我只想就項目25票使其可用於註冊用戶,並且只有當他們想要這樣做時。現在我知道,當有人忙在網站上,有人給了他們這樣一個鏈接: http://mysite.com/vote/30 然後投票將在項目爲他的地方沒有他想做到這一點。 我看了explanation on the OWASP
    php csrf owasp 2010-03-26
最新問題