csrf

19熱度

2回答

內置於Rails中的CSRF預防工作對於我們正在進行的一些自動化負載測試造成了一些問題，並且我想在整個過程中關閉它。我該怎麼做呢？

15熱度

3回答

Django附帶CSRF protection middleware，它生成一個唯一的每個會話令牌以用於表單。它會掃描所有傳入的POST對正確標記的請求，並在標記丟失或無效時拒絕請求。我想爲某些POST請求使用AJAX，但表示請求沒有CSRF令牌可用。這些頁面沒有<form>元素可以插入，我寧願不要將標記插入作爲隱藏值的標記。我認爲這樣做的一個好方法就是公開像/get-csrf-token/這樣

11熱度

3回答

如何在GAE應用程序中最好地防止CSRF攻擊？

那麼，爲GAE應用程序防止XSRF攻擊的最佳方法是什麼？想象一下以下內容：任何人都可以看到該用戶的公共對象，並且db.Model ID在請求中使用，以找出哪些對象顯示。惡意用戶現在擁有該ID。惡意用戶創建自己的對象並檢出刪除表單。他們現在知道如何刪除具有特定ID的對象。惡意用戶獲取無辜用戶提交該用戶對象的刪除請求。我可以添加哪些步驟來防止＃3？請注意，當我說ID時，我正在使用密鑰的實際ID