csrf

12熱度

1回答

跨站點請求僞造對無狀態RESTful服務可能嗎？我不是在說服務器記得您通過cookie登錄的僞REST。我正在談論純粹的沒有應用程序服務狀態的服務器上沒有cookies的REST。我正在使用SSL和基本身份驗證。對於每個請求，授權標題必須在那裏。儘管在SSL級別上有某種會話，但JSP意義上沒有「會話」。因此，讓我們假設我正在查看發出Ajax請求的合法網頁，並以某種方式轉到同一個選項卡或另一個

6熱度

4回答

有很多故障的Django CSRF框架

我的站點上的CSRF Django中間件（SVN中繼版本）出現了很多故障。我得到的唯一錯誤是：CSRF故障：reason = CSRF令牌丟失或不正確。我該如何診斷這些CSRF錯誤來自哪裏？我自己不能導致CSRF錯誤，但是當CSRF錯誤視圖被觸發時，我設置該網站給我發電子郵件，所以我知道它經常發生。

1熱度

3回答

完全禁用在SVN中繼Django的CSRF保護

我已經花了幾個小時挫折，試圖禁用Django現在試圖強迫我的CSRF，無濟於事。有沒有其他人試過這個更成功？我對任何有效的東西都很好，除了源補丁（但monkeypatches都可以）。

18熱度

2回答

ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻擊？

使用AntiForgeryToken需要每個請求都傳遞有效的令牌，所以使用簡單腳本將數據發佈到我的Web應用程序的惡意網頁將無法成功。但是如果惡意腳本，以下載包含在一個隱藏的輸入字段的防僞標記的頁面會先進行一些簡單的GET請求（由Ajax），提取它，並用它來進行有效的POST？這是可能的，還是我錯過了什麼？

37熱度

8回答

CSRF令牌生成

這是關於生成CSRF令牌的問題。平時我想基於掀起了獨特的作品與用戶的會話相關的數據的一個令牌，散列，並用私鑰鹹。我的問題是關於在沒有唯一的用戶數據使用時生成令牌。沒有會話可用，Cookie不是一個選項，IP地址和這種性質的東西是不可靠的。是否有任何理由，我可以不包括散列的以及請求的一部分字符串？實施例的僞代碼生成令牌並將其嵌入： var $stringToHash = random()

3熱度

4回答

Django CSRF問題，禁用了Cookie

在測試我用Django編寫的應用程序時，我發現每次提交表單時都會出現HTTP 403 Forbidden錯誤。我知道CSRF中間件使用CSRF令牌檢查cookie，但我的方法應該給予禁用cookie的用戶的方法？我是否需要檢查用戶是否在我的每個視圖中啓用了Cookie，或者是否存在更有效的方法？在此先感謝。 Django 1.2之前的這個問題 - 如果你有一個老版本的解決方案是不同的。

5熱度

1回答

軌，OAuth的，和CSRF保護

我使用REST和OAuth跟一個Rails應用程序（從一個iPhone應用程序，但不應該是相關的）。但是，我遇到了一些Rails的CSRF保護問題（通過protects_from_forgery）。我知道CSRF保護只針對常規表單提交（即Content-Type = application/x-www-form-urlencoded），所以如果我提交JSON或XML數據，我會好起來的。不幸的是，O

1熱度

1回答

是否有理由將標記放在搜索表單上？

讓我先說我理解CSRF攻擊的概念。現在我想知道，在搜索表單上放置令牌有什麼好處嗎？我無法真正想到自己。

4熱度

2回答

如何使用Rails的AuthenticityToken基礎設施，以明確保護GET操作

Rails的AuthenticityToken自動保護POST/PUT/DELETE從CSRF攻擊請求。但我有一個用例。我顯示在我的網站，我不希望在其他網站上嵌入的視頻。這是如何工作的，我的Flash播放器發送了一個來自我的CDN的簽名URL請求，幾秒鐘後到期。到目前爲止，用戶必須登錄才能觀看視頻，因此這是身份驗證。但是現在我希望網站的任何訪問者都能夠觀看該視頻，而不允許從其他網站請求已簽名的網

2熱度

2回答

Django錯誤：無法導入csrf.py

我的Django應用程序突然開始突然崩潰，我無法理解爲什麼。我甚至無法讓它現在運行。我正在運行修訂版11798. 當我使用獨立服務器測試我的應用程序時，它突然開始不導入csrf。我以前的工作很完美。我想看看是怎麼了用外殼和這裏是結果： $ ./manage.py shell Python 2.6.3 (r263:75184, Oct 2 2009, 07:56:03) [GCC 4.0.1 (