Programmierung csrf

5

Was ist ein CSRF-Token? Welche Bedeutung hat es und wie funktioniert es?

Ich schreibe eine Anwendung (Django, das passiert auch) und möchte nur eine Vorstellung davon haben, was ein "CSRF-Token" eigentlich ist und wie es die Daten schützt. Sind die Post-Daten nicht sicher, wenn Sie keine CSRF-Token verwenden?

628 csrf

4

Warum ist es üblich, CSRF-Präventionstoken in Cookies zu setzen?

Ich versuche, das ganze Problem mit CSRF und geeignete Möglichkeiten zu verstehen, um es zu verhindern. (Ressourcen, die ich gelesen habe, verstehe und mit denen ich einverstanden bin: OWASP CSRF Prevention Cheat Sheet , Fragen zu CSRF .) Soweit ich weiß, wird die Sicherheitsanfälligkeit in Bezug auf CSRF durch die …

283 security cookies web csrf owasp

17

WARNUNG: CSRF-Token-Authentizitätsschienen können nicht überprüft werden

Ich sende mit AJAX Daten von der Ansicht an den Controller und habe folgende Fehlermeldung erhalten: WARNUNG: Die Authentizität des CSRF-Tokens kann nicht überprüft werden Ich denke, ich muss dieses Token mit Daten senden. Weiß jemand, wie ich das machen kann? Edit: Meine Lösung Dazu habe ich den folgenden Code …

238 ruby-on-rails jquery csrf

20

jQuery Ajax ruft auf und das Html.AntiForgeryToken ()

Ich habe in meiner App die Abwehr von CSRF-Angriffen implementiert, nachdem ich Informationen in einem Blogbeitrag im Internet gelesen habe. Insbesondere dieser Beitrag war der Treiber meiner Implementierung Best Practices für ASP.NET MVC vom ASP.NET- und Web Tools Developer Content Team Anatomie eines Cross-Site Request Forgery Attack von Phil Haack …

207 asp.net-mvc ajax asp.net-mvc-2 csrf antiforgerytoken

18

Django CSRF-Prüfung schlägt mit einer Ajax-POST-Anforderung fehl

Ich könnte über meinen AJAX-Beitrag Hilfe bei der Einhaltung des CSRF-Schutzmechanismus von Django gebrauchen. Ich habe die Anweisungen hier befolgt: http://docs.djangoproject.com/de/dev/ref/contrib/csrf/ Ich habe den AJAX-Beispielcode, den sie auf dieser Seite haben, genau kopiert: http://docs.djangoproject.com/de/dev/ref/contrib/csrf/#ajax Ich habe eine Warnung eingefügt, die den Inhalt getCookie('csrftoken')vor dem xhr.setRequestHeaderAnruf druckt, und er ist tatsächlich …

180 python ajax django csrf

11

Fügen Sie Antiforgerytoken in Ajax nach ASP.NET MVC ein

Ich habe Probleme mit dem AntiForgeryToken mit Ajax. Ich verwende ASP.NET MVC 3. Ich habe die Lösung in jQuery Ajax-Aufrufen und im Html.AntiForgeryToken () ausprobiert . Mit dieser Lösung wird das Token jetzt übergeben: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: …

167 asp.net ajax asp.net-mvc asp.net-mvc-3 csrf

4

Benötigen Anmeldeformulare Token gegen CSRF-Angriffe?

Nach dem, was ich bisher gelernt habe, sollen Token verhindern, dass ein Angreifer eine Formularübermittlung fälscht. Wenn eine Website beispielsweise über ein Formular verfügt, in dem Artikel in Ihren Warenkorb eingegeben werden, und ein Angreifer Ihren Warenkorb mit Artikeln spammen kann, die Sie nicht möchten. Dies ist sinnvoll, da das …

161 php token csrf

3

Wo JWT im Browser speichern? Wie kann man sich gegen CSRF schützen?

Ich kenne die Cookie-basierte Authentifizierung. SSL- und HttpOnly-Flag können angewendet werden, um die Cookie-basierte Authentifizierung vor MITM und XSS zu schützen. Es sind jedoch weitere besondere Maßnahmen erforderlich, um sie vor CSRF zu schützen. Sie sind nur ein bisschen kompliziert. ( Referenz ) Kürzlich habe ich festgestellt, dass JSON Web …

159 security authentication cookies csrf jwt

3

Domainübergreifendes POSTing

Ich habe überall Artikel und Beiträge (einschließlich SO) zu diesem Thema gesehen, und der vorherrschende Kommentar lautet, dass die Richtlinie mit demselben Ursprung ein Formular POST über Domänen hinweg verhindert. Der einzige Ort, an dem ich jemanden gesehen habe, der vorschlägt, dass die Richtlinie mit demselben Ursprung nicht für die …

145 html security http csrf same-origin-policy

8

Rails CSRF Protection + Angular.js: Mit protected_from_forgery kann ich mich bei POST abmelden

Wenn die protect_from_forgeryOption in application_controller erwähnt wird, kann ich mich anmelden und alle GET-Anforderungen ausführen. Bei der ersten POST-Anforderung setzt Rails jedoch die Sitzung zurück, wodurch ich abgemeldet werde. Ich habe die protect_from_forgeryOption vorübergehend deaktiviert, möchte sie aber mit Angular.js verwenden. Gibt es eine Möglichkeit, das zu tun?

129 ruby-on-rails angularjs csrf protect-from-forgery

2

CSRF-Token bei Verwendung der zustandslosen (= sitzungslosen) Authentifizierung erforderlich?

Ist es erforderlich, CSRF-Schutz zu verwenden, wenn die Anwendung auf einer zustandslosen Authentifizierung basiert (unter Verwendung von HMAC)? Beispiel: Wir haben eine App für eine einzelne Seite (andernfalls müssen wir das Token an jeden Link anhängen : <a href="...?token=xyz">...</a>. Der Benutzer authentifiziert sich mit POST /auth. Bei erfolgreicher Authentifizierung gibt …

125 authentication csrf single-page-application stateless csrf-protection

18

"Die Seite ist aufgrund von Inaktivität abgelaufen" - Laravel 5.5

Meine Registrierungsseite zeigt das Formular korrekt mit CsrfToken an ({{ csrf_field() }} ) im Formular vorhanden ist. Form HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Ich verwende die integrierte Authentifizierung für die Benutzer. Haben nichts außer den Routen und Weiterleitungen geändert. Wenn ich …

111 php laravel csrf laravel-5.5

12

Django Rest Framework entfernen csrf

Ich weiß, dass es Antworten zum Django Rest Framework gibt, aber ich konnte keine Lösung für mein Problem finden. Ich habe eine Anwendung, die Authentifizierung und einige Funktionen hat. Ich habe eine neue App hinzugefügt, die das Django Rest Framework verwendet. Ich möchte die Bibliothek nur in dieser App verwenden. …

111 django django-rest-framework csrf django-csrf

3

Deaktivieren Sie den CSRF-Token in Schienen 3

Ich habe eine Rails-App, die einige APIs für eine iPhone-Anwendung bereitstellt. Ich möchte in der Lage sein, einfach auf einer Ressource zu posten, ohne darauf zu achten, das richtige CSRF-Token zu erhalten. Ich habe einige Methoden ausprobiert, die ich hier im Stackoverflow sehe, aber es scheint, dass sie auf Schienen …

105 ruby-on-rails-3 csrf

2

CSRF-Schutz mit CORS Origin-Header vs. CSRF-Token

Bei dieser Frage geht es nur um den Schutz vor Cross Site Request Forgery-Angriffen. Es geht speziell um: Ist der Schutz über den Origin-Header (CORS) so gut wie der Schutz über ein CSRF-Token? Beispiel: Alice ist mit ihrem Browser unter Verwendung eines Cookies unter " https://example.com " angemeldet . Ich …

103 javascript security cors csrf

Als «csrf» getaggte Fragen