Als «csrf» getaggte Fragen

Ich versuche, den Formularen auf meiner Website etwas Sicherheit zu verleihen. Eines der Formulare verwendet AJAX und das andere ist ein einfaches "Kontakt" -Formular. Ich versuche, ein CSRF-Token hinzuzufügen. Das Problem, das ich habe, ist, dass das Token nur manchmal im HTML- "Wert" angezeigt wird. Der Rest der Zeit ist …

94 php  security  session  csrf 

Ist nach der Konfiguration von Spring Security 3.2 _csrf.tokennicht an eine Anforderung oder ein Sitzungsobjekt gebunden. Dies ist die Federsicherheitskonfiguration: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Die Datei login.jsp <form name="f" …

90 spring  spring-security  csrf  csrf-protection 

Ich habe Laravel 5.7 installiert Der Datei wurde ein Formular hinzugefügt \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Zur Datei hinzugefügt \routes\web.php Route::post('/foo', function () { echo 1; return; }); Nach dem Senden einer POST-Anfrage: 419 Entschuldigung, Ihre Sitzung ist abgelaufen. Bitte aktualisieren und …

88 php  laravel  csrf 

Ich erstelle einen Webdienst, der ausschließlich JSON für seine Anforderungs- und Antwortinhalte verwendet (dh keine formularcodierten Nutzdaten). Ist ein Webdienst für CSRF-Angriffe anfällig, wenn Folgendes zutrifft? Jede POSTAnfrage ohne ein JSON-Objekt der obersten Ebene, z. B., {"foo":"bar"}wird mit einer 400 abgelehnt. Beispielsweise würde eine POSTAnfrage mit dem Inhalt 42somit abgelehnt. …

82 http  security  csrf 

Wie kann ich das CSRF-Token abrufen, das mit einer JSON-Anforderung übergeben werden soll? Ich weiß, dass Rails aus Sicherheitsgründen das CSRF-Token für alle Anforderungstypen (einschließlich JSON / XML) überprüft . Ich könnte meinen Controller einsetzen skip_before_filter :verify_authenticity_token, aber ich würde den CRSF-Schutz verlieren (nicht ratsam :-)). Diese ähnliche (immer noch …

81 ruby-on-rails-3  ruby-on-rails-3.1  devise  csrf 

Cross Site Request Forgery (CSRF) wird normalerweise mit einer der folgenden Methoden verhindert: Referer prüfen - RESTful aber unzuverlässig Token in Formular einfügen und Token in der Serversitzung speichern - nicht wirklich RESTful kryptische einmalige URIs - aus dem gleichen Grund wie Token nicht RESTful Kennwort manuell für diese Anforderung …

78 security  http  rest  authorization  csrf 

Ich implementiere eine Website in Angular.js, die auf ein ASP.NET WebAPI-Backend trifft. Angular.js verfügt über einige integrierte Funktionen, die den Anti-CSRF-Schutz unterstützen. Bei jeder http-Anfrage wird nach einem Cookie mit dem Namen "XSRF-TOKEN" gesucht und als Header mit dem Namen "X-XSRF-TOKEN" gesendet. Dies setzt voraus, dass der Webserver das XSRF-TOKEN-Cookie …

70 javascript  asp.net  angularjs  asp.net-web-api  csrf