腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
使用
UID
作为
密钥
是否
可以
防止
CSRF
攻击
?
、
登录到应用程序的用户的
UID
用作记录在数据库中的关键字,如下例所示: https://example.com/foo/
uid
/setitem 即使有了这种实现,用户仍然
可以
对该应用程序执行
CSRF
攻击
吗
浏览 13
提问于2020-10-16
得票数 0
回答已采纳
2
回答
如果密码文本,纯文本和现在是已知的,秘密
密钥
能被确定吗?
、
我在PHP中
使用
sodium_crypto_secretbox和sodium_crypto_secretbox_open函数(目前
使用
PHP5.6,
使用
paragonie/sodium_compat)。如果用户拥有密码文本,现在和解密的纯文本,他们能确定用于加密信息的
密钥
吗? 上下文:我正在加密用户的登录令牌(存储在机器上的cookie ),并将其用作
CSRF
令牌。当提交时,
CSRF
令牌必然包括用于解密的nonce。
CSRF
令牌在提交表单帖子时被解密和验证,以
浏览 0
提问于2018-06-30
得票数 2
回答已采纳
1
回答
使用
Tomcat
CSRF
过滤器公开URL中的token
是否
安全?
、
Tomcat支持将令牌附加到URL的
CSRF
过滤器。这不会暴露令牌吗?看起来这不是一个安全的解决方案。我说的对吗?
浏览 1
提问于2016-10-05
得票数 1
1
回答
如何在Asp.Net核中全局
防止
XSS和
CSRF
、
、
、
我想
防止
我的应用程序受到XSS和
CSRF
攻击
,我想做一些全局检查以
防止
这些
攻击
。我在statup文件中
使用
了ConfigureServices函数中的以下代码,它
可以
防止
CSRF
攻击
,但我不确定这
是否
足以
防止
这两种
攻击
,或者
是否
需要编写一些代码来分别
防止
XSS
攻击
。services.AddMvc(options
浏览 1
提问于2020-03-03
得票数 0
1
回答
为什么在身份验证期间
使用
JWT刷新令牌来
防止
CSRF
?
、
、
、
、
我读过几篇关于JWT刷新令牌以及如何/为什么
使用
它们的文章。我在这里看到的一件事是:和虽然提交给/refresh_token的表单
可以
工作并返回一个新的访问令牌,但如果
攻击
者
使用
的是HTML,则无法读取响应 我正在努力了解如何
防止
CSRF
的
攻击
,因为我认为JWT 的值,当然,
CSRF
攻击
浏览 4
提问于2021-01-24
得票数 6
2
回答
SameSite cookie属性与同步器令牌模式
、
、
、
、
最近,大多数浏览器增加了对SameSite cookie属性的支持,以
防止
CSRF
攻击
:https://www.owasp.org/index.php/SameSite。如果支持,我们
是否
应该实现同步器令牌模式来
防止
CSRF
攻击
?https://www.owasp.org/index.php/Cross-Site_请求_伪造_(
CSRF
)_预防_作弊_Sheet#Synch
浏览 0
提问于2019-01-13
得票数 2
回答已采纳
1
回答
如何
防止
服务器上的客户端
密钥
记录?
、
、
、
、
作为
一名web开发人员,
使用
HTTPS
可以
防止
中间人
攻击
AFAIK.但是,
是否
有办法
防止
密钥
记录客户端敏感信息?
浏览 2
提问于2017-04-20
得票数 0
回答已采纳
1
回答
CSRF
防御工事也能抵御点击劫持吗?
、
、
假设我的web应用程序
使用
CSRF
令牌来
防止
CSRF
攻击
,另外,它
使用
SSL,并且不受XSS
攻击
的影响。此外,为了这个问题的目的,假设它仅在最近的浏览器中
使用
,并且它们没有bug。我
可以
通过一个X帧选项来
防止
基于帧的点击:拒绝标题,但是我看不出它会提供什么额外的保护,因为任何基于帧的表单提交都缺少
CSRF
令牌。(相同来源的策略
防止
攻击
者的JavaScript发现<
浏览 5
提问于2013-06-09
得票数 5
回答已采纳
1
回答
不相信JWT令牌+
CSRF
令牌的安全性
、
、
、
、
假设我有一个web应用程序,在其身份验证方案中
使用
了JWT令牌和
CSRF
令牌。据我所知,它是这样运作的: 服务器还发送没有httpOnly设置的
CSRF
令牌,以便JavaScript code.
可以
读取它。当客户机提出任何未来的请求时,JWT cookie将自动发送,
CSRF
必须在请求头中设置。这应该
可以
浏览 0
提问于2018-11-29
得票数 1
3
回答
加密cookie以
防止
csrf
攻击
、
、
为了
防止
CSRF
攻击
,创建一个加密的cookie
是否
可以
防止
CSRF
攻击
?此外,还要对照目标来源检查推荐人。我不能更改1000 s的页面以将令牌嵌入到每个提交中,而且我也没有会话状态。
浏览 0
提问于2016-11-15
得票数 1
2
回答
如何通过反伪造GET请求
防止
CSRF
攻击
、
、
、
、
我的问题是关于XSS/
CSRF
攻击
的ASP.NET MVC 5。但此令牌只能与POST请求一起
使用
。根据我的测试团队,为了
防止
CSRF
攻击
,每个请求都应该有一个令牌号,并且他们只要求有POST请求,而不是一个GET请求。所以我的问题是: 我们
是否
需要只为了
防止
CSRF
攻击
才
浏览 6
提问于2014-07-07
得票数 1
回答已采纳
1
回答
OAuth2:如果回调位于后端,
是否
需要PKCE?
、
、
、
来源:这种情况
是否
需要PKCE?另外,我将在前端加密状态参数,并可能
使用
非对称
密钥
在后端解密它。编辑: 如果需要PKCE,我们如何在客户端和服务器之间共享代码验证器?
浏览 5
提问于2022-11-25
得票数 2
3
回答
CSRF
双提交Cookie基本上是“不安全”的
、
、
从:
CSRF
攻击
起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。在我发现的一些示例代码中,基本上找到了这个算法。
攻击
者: 然后,
攻击
者窃取此会话cookie
作为
受害者登录。双重提交cookie
可以
防止
此
攻击</e
浏览 3
提问于2021-01-22
得票数 6
1
回答
https是
csrf
令牌方法
防止
csrf
攻击
的先决条件吗?
、
、
使用
csrf
令牌方法,当服务器向客户端发送表单时,它也会发送一个
csrf
令牌。当客户端填写表单并将其发送到服务器时,服务器将验证令牌
是否
与它随表单一起发送的令牌相同。此方法可
防止
csrf
攻击
,因为黑客在尝试生成表单post请求时无法猜测
csrf
令牌值。 https是
csrf
令牌方法
防止
csrf
攻击
的前提条件,对吗?否则,如果这是一个http请求,黑客
可以
拦截表单,
浏览 30
提问于2020-05-08
得票数 0
4
回答
在HTML表单中
使用
令牌并在PHP代码中检查的原因
、
在代码中,我看到了为登录页面创建令牌:然后,将此令牌
作为
隐藏的输入回显在登录表单中编辑:本页面描述了它的
使用
:
浏览 4
提问于2011-11-19
得票数 8
回答已采纳
1
回答
安全地更新没有javascript和不破坏
CSRF
保护的会话
、
、
、
因此,我在应用程序中添加了
CSRF
保护,将
CSRF
令牌
作为
表单中的隐藏输入。很正常。 然后,我显着地降低了会话超时(以前的值是8小时,从安全的角度来看,这显然是不可接受的)。但是,为了
防止
用户在会话超时时失去工作,我还
使用
一些JavaScript实现了一个模式登录对话框,以便在完成表单提交之前更新他们的会话。此JavaScript还在成功登录时
使用
来自服务器的新值更新
CSRF
令牌输入,因为显然旧
CSRF
令牌与其上一次过期会话相关联。这样,在提交表单之前
浏览 12
提问于2022-01-13
得票数 1
1
回答
web2py中的
CSRF
保护
、
我从web2py文档()中读到 据推测,恶意站点
可以
通过外部形式执行在上描述的
攻击
: ..。易
浏览 3
提问于2016-11-12
得票数 1
回答已采纳
1
回答
会话
密钥
在整个会话中是相同的,
是否
可以
利用此行为?
、
、
这个应用程序
使用
会话
密钥
而不是
CSRF
令牌,但是这个会话
密钥
在整个会话中是相同的,它不会改变。只有当我退出并再次登录到应用程序时,它才会更改。 会话
密钥
和
CSRF
令牌
是否
相似?
攻击
者
可以
以任何方式利用整个会话中
密钥
保持不变的行为吗?
浏览 0
提问于2019-04-15
得票数 -2
1
回答
防止
执行两次php脚本
、
由于浏览器挂起或网络速度,我需要
防止
多次执行php脚本(codeigniter)。正因为如此,它为单个数据创建了多个条目,日期时间差为1-2分钟。 被困在这里。需要解决办法。
浏览 0
提问于2018-05-17
得票数 0
回答已采纳
2
回答
这是密码重置电子邮件的安全实现吗?
、
我的目标是生成重置代码,这些代码是:抗篡改性抵抗重放
攻击
B64( B64( iv ) || B64( E(
uid
|| timestamp ) ) )||表示连接,我实际上
使用
字符串"||"
作为
分隔符。
uid
是用户的一个不透明标识符,因此我
可以
在数据库中查找它们。 timestamp允许代码过期。我
使用
AES 256在Galois计数器模式,这应该提供保护,以
防止
浏览 0
提问于2012-07-20
得票数 8
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
如何寻找隐藏的漏洞?PHP代码审查之常规漏洞解析
咱妈说别乱点链接之浅谈CSRF攻击
安全渗透测试公司 该如何检测CSRF漏洞
对于跨站伪造请求的理解和总结
大型网站架构之安全性:高安全架构
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券