csrf

4熱度

2回答

默認情況下，AntiForgeryToken爲什麼不包含在每個表單中？

我感興趣爲什麼默認情況下，每個ASP.NET MVC表單中都不包含AntiForgeryToken？看起來總是包括它的優點超過了可能的缺點。如果需要Web窗體HttpRequestValidationException，則可以禁用此行爲。

0熱度

2回答

任何人都可以提出一個抽象的基類，以防止XSRF在.NET 2.0 +

我正在尋找一個抽象的基類或主頁面解決方案，將阻止任何人使用令牌和ttl做XSRF。任何人都可以將我指向正確的方向嗎？編輯：理想的解決方案將利用默認成員資格提供商發送給客戶端的Cookie。

2熱度

2回答

如何防止使用Perl和Apache進行跨站點請求僞造？

是否有任何透明的庫，我可以使用或簡單的東西，所以我可以防止cross-site request forgery (CSRF)與Perl和Apache？我怎樣才能爲表單生成令牌並驗證它們的服務器端？

7熱度

2回答

CSRF驗證令牌：會話ID安全嗎？

在asp.net中，我實現了一個IHttpModule來緩解CSRF攻擊。它向GET響應html注入一個帶有asp.net SessionID的隱藏表單參數。然後在POST上檢查以確保隱藏參數的值與當前SessionID匹配。據我所知，獲取SessionID值的唯一方法是從cookie中獲取，該cookie無法被惡意站點讀取或確定。有什麼我可以忽略的嗎？

3熱度

1回答

REST風格的應用程序中的XSRF

我是一位嘗試學習Rails和REST風格的ASP.NET開發人員。爲了理解，我打算編寫一個電子郵件客戶端，它將使RESTful GET調用服務器來獲取電子郵件和POST以發送電子郵件。要遵循哪些最佳實踐（通用和/或特定於Rails），以便上述應用程序不會公開任何XSRF漏洞。

7熱度

3回答

AJAX風格的XSRF保護應用程序

我們目前正在開發完全基於AJAX的應用程序，該應用程序將通過RESTful API與服務器進行交互。我已經考慮了潛在的方案來防止針對API的XSRF攻擊。用戶認證和接收會話cookie，這也是雙提交與每個請求。我們的Javascript實現的OAuth用戶，檢索令牌時在用戶登錄，並簽署所有請求與該令牌。我傾向於OAuth方法，主要是因爲我想提供第三方訪問我們的API，我寧可不必實現

2熱度

1回答

有沒有一種特殊的方法來防止Zend Framework中的CSRF/XSRF？

Cross-site request forgery（CSRF或XSRF）攻擊會讓您認爲值得信任的用戶在您的Web應用程序中引發未經授權的操作。這肯定是我們想要阻止的事情，我特別在使用Zend Framework。是否有Zend框架方法來防止CSRF/XSRF？

2熱度

1回答

CSRF：POST請求返回的JSON數據可以被盜嗎？

由POST請求返回的JSON數據能否被跨站請求僞造攻擊竊取？

1熱度

5回答

javascript securty：一個AJAX調用來記錄用戶的屏幕分辨率，是否有可能防止假數字？

這是一個javascript安全問題：假設一個頁面發現了計算機的屏幕分辨率，例如1024 x 768，並且想要使用AJAX調用將這些數據記錄到數據庫中。有沒有一種方法可以防止假數據被輸入到數據庫中？我認爲無論HTML或Javascript做什麼，用戶都可以對代碼進行逆向工程，以便將某些假數字輸入到數據庫中，或者是否有辦法阻止它發生？（100％安全）。更新：或者在類似的情況下......如果我

5熱度

4回答

如何保護我的JsonResult GET調用？

我知道如何使用MVC的AntiForgeryToken屬性及其關聯的HTML幫助器來幫助XSRF保護我的應用程序的表單POST。對於實現GET的JsonResults可以做些類似的事情嗎？例如，我的觀點中包含的onsubmit jQuery的調用像這樣： $.getJSON("/allowActivity/YesOrNo/" + someFormValue, "{}", function(da