csrf (69)


ajax - 公开会话的CSRF保护令牌是否安全?

ajax - 公开会话的CSRF保护令牌是否安全?

Django带有CSRF保护中间件,它生成一个唯一的每个会话令牌用于表单。 它会扫描所有传入POST请求的正确标记,并在标记丢失或无效时拒绝请求。 我想使用AJAX的一些POST请求,但说请求没有CSRF令牌可用。 这些页面没有<form>元素可以插入,我宁愿不要把标记插入作为隐藏值的标记。 我认为这样做的一个好方法就是公开像/get-csrf-token/这样/get-csrf-token…


security - 不是CSRF浏览器安全问题?

对于跨站点请求伪造(CSRF)攻击,如果Cookie是最常用的身份验证方法,那么为什么网页浏览器允许从另一个域生成的页面发送某个域(以及该域)的Cookie? 不能在浏览器中通过禁止这种行为轻松防止CSRF? 据我所知,这种安全检查没有在网页浏览器中实现,但我不明白为什么。 我有什么问题吗? 关于CSRF: 在维基百科上 编码恐怖 编辑:我认为在上面的情况下不应该在http POST…


在Java Web应用程序中防止SQL注入攻击和XSS的方法

我正在写一个Java类,它将被一个servlet过滤器调用,并检查基于Struts的Java Web应用程序的注入攻击尝试和XSS。 InjectionAttackChecker类使用regex&java.util.regex.Pattern类来针对在regex中指定的模式验证输入。 这样说,我有以下问题: 应该阻止所有特殊字符和字符模式(例如<>, 。,-,<=,==,>=),以…


使用Ajax动态地将表单添加到Django formset中

我想使用Ajax自动将新表单添加到Django formset中,以便当用户单击“添加”按钮时,它会运行JavaScript,将新表单(它是formset的一部分)添加到页面。…


什么是Django最好的AJAX库?

哪个AJAX库最适合django,为什么? 寻找一个包含教程,书籍和详细文档的大型数据库。 哪一个最容易使用? 哪一个处于早期发展阶段,但对未来有很大的希望? 问候, CHRISS…


ruby on rails - 了解Rails真实性令牌

我遇到了一些关于Rails中真实性令牌的问题,因为我现在已经有很多次了。 但我真的不想解决这个问题,继续下去。 我真的很想了解真实性标记。 那么,我的问题是,你有这方面的一些完整的信息来源,或者你会花时间在这里详细解释吗?…



security - 检查引荐来源是否足以防止CSRF攻击?

检查引荐来源是否足以防止跨站点请求伪造攻击? 我知道引用者可能是欺骗者,但攻击者是否有办法为客户端做这件事? 我知道令牌是常态,但这会有用吗?…


Django CSRF框架无法禁用并且正在破坏我的网站

django csrf中间件无法禁用。 我从我的项目中间件中评论过它,但由于缺少CSRF问题,我的登录失败了。 我正在使用Django主干。 如果在中间件中未启用CSRF,CSRF如何导致问题? 我必须禁用它,因为我的网站上有很多POST请求,CSRF刚刚中断。 有关如何在django主干项目中完全禁用CSRF的任何反馈? 来自Django主干的“新'CSRF框架也打破了一个外部网站,它正在…


防止PHP中的csrf

要求在GET和POST参数中进行身份验证,而不仅仅是cookie; 检查HTTP Referer标头; 在维基百科上看到这篇文章,并想知道如何应用它们 好的...我正在使用Kohana PHP框架,我有确定引用标头的工具,但我究竟要检查引用标头? framework函数只返回引用者的URL 以及如何验证GET和POST参数? 反对什么? 存储的信息? 预期的类型?…


CSRF令牌生成

这是关于生成CSRF令牌的问题。 通常,我想基于与用户会话相关联的唯一数据生成令牌,并使用密钥进行散列和腌制。 我的问题是在没有唯一用户数据时生成令牌。 没有可用的会话,cookie不是一个选项,IP地址和这种性质的东西是不可靠的。 我有什么理由不能将字符串包含在请求中作为请求的一部分吗? 示例伪代码生成令牌并嵌入它: var $stringToHash=random() var $c…




django token ajax post spring java token获取 security missing rest