Perguntas com a marcação «csrf»

Estou escrevendo um aplicativo (Django, acontece) e só quero ter uma idéia do que realmente é um "token CSRF" e como ele protege os dados. Os dados da postagem não são seguros se você não usar tokens CSRF?

629 csrf 

Estou tentando entender todo o problema com o CSRF e maneiras apropriadas de evitá-lo. (Recursos que li, compreendi e concordo com: Folha de dicas sobre prevenção de RSC do OWASP , Perguntas sobre CSRF .) Pelo que entendi, a vulnerabilidade em torno do CSRF é introduzida pela suposição de que …

283 security  cookies  web  csrf  owasp 

Estou enviando dados do modo de exibição para o controlador com AJAX e recebi este erro: AVISO: Não é possível verificar a autenticidade do token CSRF Eu acho que tenho que enviar esse token com dados. Alguém sabe como posso fazer isso? Edit: Minha solução Eu fiz isso colocando o …

238 ruby-on-rails  jquery  csrf 

Eu implementei no meu aplicativo a atenuação de ataques CSRF, seguindo as informações que li em algum post de blog na Internet. Em particular, este post foi o driver da minha implementação Práticas recomendadas para o ASP.NET MVC da equipe de conteúdo do desenvolvedor do ASP.NET e das Ferramentas da …

207 asp.net-mvc  ajax  asp.net-mvc-2  csrf  antiforgerytoken 

Eu poderia usar alguma ajuda em conformidade com o mecanismo de proteção CSRF do Django através do meu post AJAX. Eu segui as instruções aqui: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Copiei exatamente o código de exemplo AJAX que eles têm nessa página: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Coloquei um alerta imprimindo o conteúdo getCookie('csrftoken')antes da xhr.setRequestHeaderchamada e ele …

180 python  ajax  django  csrf 

Estou tendo problemas com o AntiForgeryToken com ajax. Estou usando o ASP.NET MVC 3. Tentei a solução nas chamadas do jQuery Ajax e no Html.AntiForgeryToken () . Usando essa solução, o token agora está sendo passado: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: …

168 asp.net  ajax  asp.net-mvc  asp.net-mvc-3  csrf 

Pelo que aprendi até agora, o objetivo dos tokens é impedir que um invasor forje um envio de formulário. Por exemplo, se um site tiver um formulário que insira itens adicionados ao seu carrinho de compras, e um invasor poderá enviar spam ao seu carrinho de compras com itens que …

161 php  token  csrf 

Eu sei autenticação baseada em cookie. Os sinalizadores SSL e HttpOnly podem ser aplicados para proteger a autenticação baseada em cookie do MITM e XSS. No entanto, serão necessárias medidas mais especiais a fim de protegê-lo do CSRF. Eles são um pouco complicados. ( referência ) Recentemente, descobri que o …

159 security  authentication  cookies  csrf  jwt 

Eu já vi artigos e postagens por todo o lado (incluindo SO) sobre esse tópico, e o comentário predominante é que a política de mesma origem impede um formulário POST entre domínios. O único lugar em que vi alguém sugerir que a política de mesma origem não se aplica a …

145 html  security  http  csrf  same-origin-policy 

Se a protect_from_forgeryopção for mencionada em application_controller, eu posso efetuar login e executar quaisquer solicitações GET, mas na primeira solicitação POST, o Rails redefine a sessão, o que me desconecta. protect_from_forgeryDesativei a opção temporariamente, mas gostaria de usá-la com o Angular.js. Existe alguma maneira de fazer isso?

129 ruby-on-rails  angularjs  csrf  protect-from-forgery 

É necessário usar a proteção CSRF quando o aplicativo depende da autenticação sem estado (usando algo como HMAC)? Exemplo: Temos um único aplicativo página (caso contrário, temos de acrescentar o token em cada link: <a href="...?token=xyz">...</a>. O usuário se autentica usando POST /auth. Na autenticação bem-sucedida, o servidor retornará algum …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

Minha página de registro está exibindo o formulário corretamente com CsrfToken ( {{ csrf_field() }}) presente no formulário). HTML do formulário <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Estou usando autenticação embutida para os usuários. Não mudou nada, exceto as rotas e redirecionamentos. Quando …

111 php  laravel  csrf  laravel-5.5 

Eu sei que existem respostas sobre Django Rest Framework, mas não consegui encontrar uma solução para o meu problema. Tenho um aplicativo que possui autenticação e algumas funcionalidades. Eu adicionei um novo aplicativo a ele, que usa Django Rest Framework. Quero usar a biblioteca apenas neste aplicativo. Também quero fazer …

111 django  django-rest-framework  csrf  django-csrf 

Eu tenho um aplicativo rails que serve algumas APIs para um aplicativo iPhone. Quero ser capaz de simplesmente postar em um recurso sem me importar em obter o token CSRF correto. Tentei alguns métodos que vejo aqui no stackoverflow, mas parece que eles não funcionam mais nos trilhos 3. Obrigado …

105 ruby-on-rails-3  csrf 

Esta pergunta é sobre a proteção apenas contra ataques de Cross Site Request Forgery. É especificamente sobre: ​​A proteção por meio do cabeçalho de origem (CORS) é tão boa quanto a proteção por meio de um token CSRF? Exemplo: Alice está logada (usando um cookie) com seu navegador em " …

103 javascript  security  cors  csrf