腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
使用
UID
作为
密钥
是否
可以
防止
CSRF
攻击
?
security
、
csrf
登录到应用程序的用户的
UID
用作记录在数据库中的关键字,如下例所示: https://example.com/foo/
uid
/setitem 即使有了这种实现,用户仍然
可以
对该应用程序执行
CSRF
攻击
吗
浏览 13
提问于2020-10-16
得票数 0
回答已采纳
2
回答
如果密码文本,纯文本和现在是已知的,秘密
密钥
能被确定吗?
cryptography
、
php
我在PHP中
使用
sodium_crypto_secretbox和sodium_crypto_secretbox_open函数(目前
使用
PHP5.6,
使用
paragonie/sodium_compat)。如果用户拥有密码文本,现在和解密的纯文本,他们能确定用于加密信息的
密钥
吗? 上下文:我正在加密用户的登录令牌(存储在机器上的cookie ),并将其用作
CSRF
令牌。当提交时,
CSRF
令牌必然包括用于解密的nonce。
CSRF
令牌在提交表单帖子时被解密和验证,以
浏览 0
提问于2018-06-30
得票数 2
回答已采纳
1
回答
使用
Tomcat
CSRF
过滤器公开URL中的token
是否
安全?
tomcat
、
csrf-protection
Tomcat支持将令牌附加到URL的
CSRF
过滤器。这不会暴露令牌吗?看起来这不是一个安全的解决方案。我说的对吗?
浏览 1
提问于2016-10-05
得票数 1
1
回答
如何在Asp.Net核中全局
防止
XSS和
CSRF
asp.net-core
、
xss
、
csrf
、
antiforgerytoken
我想
防止
我的应用程序受到XSS和
CSRF
攻击
,我想做一些全局检查以
防止
这些
攻击
。我在statup文件中
使用
了ConfigureServices函数中的以下代码,它
可以
防止
CSRF
攻击
,但我不确定这
是否
足以
防止
这两种
攻击
,或者
是否
需要编写一些代码来分别
防止
XSS
攻击
。services.AddMvc(options
浏览 1
提问于2020-03-03
得票数 0
1
回答
为什么在身份验证期间
使用
JWT刷新令牌来
防止
CSRF
?
security
、
authentication
、
cookies
、
jwt
、
csrf
我读过几篇关于JWT刷新令牌以及如何/为什么
使用
它们的文章。我在这里看到的一件事是:和虽然提交给/refresh_token的表单
可以
工作并返回一个新的访问令牌,但如果
攻击
者
使用
的是HTML,则无法读取响应 我正在努力了解如何
防止
CSRF
的
攻击
,因为我认为JWT 的值,当然,
CSRF
攻击
浏览 4
提问于2021-01-24
得票数 6
2
回答
SameSite cookie属性与同步器令牌模式
web-application
、
web-browser
、
http
、
cookies
、
csrf
最近,大多数浏览器增加了对SameSite cookie属性的支持,以
防止
CSRF
攻击
:https://www.owasp.org/index.php/SameSite。如果支持,我们
是否
应该实现同步器令牌模式来
防止
CSRF
攻击
?https://www.owasp.org/index.php/Cross-Site_请求_伪造_(
CSRF
)_预防_作弊_Sheet#Synch
浏览 0
提问于2019-01-13
得票数 2
回答已采纳
1
回答
如何
防止
服务器上的客户端
密钥
记录?
web-services
、
security
、
authentication
、
web-deployment
、
keylogger
作为
一名web开发人员,
使用
HTTPS
可以
防止
中间人
攻击
AFAIK.但是,
是否
有办法
防止
密钥
记录客户端敏感信息?
浏览 2
提问于2017-04-20
得票数 0
回答已采纳
1
回答
CSRF
防御工事也能抵御点击劫持吗?
csrf
、
x-frame-options
、
clickjacking
假设我的web应用程序
使用
CSRF
令牌来
防止
CSRF
攻击
,另外,它
使用
SSL,并且不受XSS
攻击
的影响。此外,为了这个问题的目的,假设它仅在最近的浏览器中
使用
,并且它们没有bug。我
可以
通过一个X帧选项来
防止
基于帧的点击:拒绝标题,但是我看不出它会提供什么额外的保护,因为任何基于帧的表单提交都缺少
CSRF
令牌。(相同来源的策略
防止
攻击
者的JavaScript发现<
浏览 5
提问于2013-06-09
得票数 5
回答已采纳
1
回答
不相信JWT令牌+
CSRF
令牌的安全性
authentication
、
xss
、
csrf
、
jwt
、
token
假设我有一个web应用程序,在其身份验证方案中
使用
了JWT令牌和
CSRF
令牌。据我所知,它是这样运作的: 服务器还发送没有httpOnly设置的
CSRF
令牌,以便JavaScript code.
可以
读取它。当客户机提出任何未来的请求时,JWT cookie将自动发送,
CSRF
必须在请求头中设置。这应该
可以
浏览 0
提问于2018-11-29
得票数 1
3
回答
加密cookie以
防止
csrf
攻击
csrf
、
.net
、
referer
为了
防止
CSRF
攻击
,创建一个加密的cookie
是否
可以
防止
CSRF
攻击
?此外,还要对照目标来源检查推荐人。我不能更改1000 s的页面以将令牌嵌入到每个提交中,而且我也没有会话状态。
浏览 0
提问于2016-11-15
得票数 1
2
回答
如何通过反伪造GET请求
防止
CSRF
攻击
c#
、
security
、
asp.net-mvc-5
、
antiforgerytoken
、
csrf-protection
我的问题是关于XSS/
CSRF
攻击
的ASP.NET MVC 5。但此令牌只能与POST请求一起
使用
。根据我的测试团队,为了
防止
CSRF
攻击
,每个请求都应该有一个令牌号,并且他们只要求有POST请求,而不是一个GET请求。所以我的问题是: 我们
是否
需要只为了
防止
CSRF
攻击
才
浏览 6
提问于2014-07-07
得票数 1
回答已采纳
1
回答
OAuth2:如果回调位于后端,
是否
需要PKCE?
authentication
、
oauth-2.0
、
oauth
、
pkce
来源:这种情况
是否
需要PKCE?另外,我将在前端加密状态参数,并可能
使用
非对称
密钥
在后端解密它。编辑: 如果需要PKCE,我们如何在客户端和服务器之间共享代码验证器?
浏览 5
提问于2022-11-25
得票数 2
3
回答
CSRF
双提交Cookie基本上是“不安全”的
api
、
security
、
csrf
从:
CSRF
攻击
起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。在我发现的一些示例代码中,基本上找到了这个算法。
攻击
者: 然后,
攻击
者窃取此会话cookie
作为
受害者登录。双重提交cookie
可以
防止
此
攻击</e
浏览 3
提问于2021-01-22
得票数 6
1
回答
https是
csrf
令牌方法
防止
csrf
攻击
的先决条件吗?
security
、
csrf
、
websecurity
使用
csrf
令牌方法,当服务器向客户端发送表单时,它也会发送一个
csrf
令牌。当客户端填写表单并将其发送到服务器时,服务器将验证令牌
是否
与它随表单一起发送的令牌相同。此方法可
防止
csrf
攻击
,因为黑客在尝试生成表单post请求时无法猜测
csrf
令牌值。 https是
csrf
令牌方法
防止
csrf
攻击
的前提条件,对吗?否则,如果这是一个http请求,黑客
可以
拦截表单,
浏览 30
提问于2020-05-08
得票数 0
4
回答
在HTML表单中
使用
令牌并在PHP代码中检查的原因
php
、
validation
在代码中,我看到了为登录页面创建令牌:然后,将此令牌
作为
隐藏的输入回显在登录表单中编辑:本页面描述了它的
使用
:
浏览 4
提问于2011-11-19
得票数 8
回答已采纳
1
回答
安全地更新没有javascript和不破坏
CSRF
保护的会话
security
、
session
、
csrf
、
legacy
因此,我在应用程序中添加了
CSRF
保护,将
CSRF
令牌
作为
表单中的隐藏输入。很正常。 然后,我显着地降低了会话超时(以前的值是8小时,从安全的角度来看,这显然是不可接受的)。但是,为了
防止
用户在会话超时时失去工作,我还
使用
一些JavaScript实现了一个模式登录对话框,以便在完成表单提交之前更新他们的会话。此JavaScript还在成功登录时
使用
来自服务器的新值更新
CSRF
令牌输入,因为显然旧
CSRF
令牌与其上一次过期会话相关联。这样,在提交表单之前
浏览 12
提问于2022-01-13
得票数 1
1
回答
web2py中的
CSRF
保护
csrf
、
web2py
我从web2py文档()中读到 据推测,恶意站点
可以
通过外部形式执行在上描述的
攻击
: ..。易
浏览 3
提问于2016-11-12
得票数 1
回答已采纳
1
回答
会话
密钥
在整个会话中是相同的,
是否
可以
利用此行为?
web-application
、
csrf
、
session-management
这个应用程序
使用
会话
密钥
而不是
CSRF
令牌,但是这个会话
密钥
在整个会话中是相同的,它不会改变。只有当我退出并再次登录到应用程序时,它才会更改。 会话
密钥
和
CSRF
令牌
是否
相似?
攻击
者
可以
以任何方式利用整个会话中
密钥
保持不变的行为吗?
浏览 0
提问于2019-04-15
得票数 -2
1
回答
防止
执行两次php脚本
php
、
codeigniter-3
由于浏览器挂起或网络速度,我需要
防止
多次执行php脚本(codeigniter)。正因为如此,它为单个数据创建了多个条目,日期时间差为1-2分钟。 被困在这里。需要解决办法。
浏览 0
提问于2018-05-17
得票数 0
回答已采纳
2
回答
这是密码重置电子邮件的安全实现吗?
protocol-design
、
authentication
我的目标是生成重置代码,这些代码是:抗篡改性抵抗重放
攻击
B64( B64( iv ) || B64( E(
uid
|| timestamp ) ) )||表示连接,我实际上
使用
字符串"||"
作为
分隔符。
uid
是用户的一个不透明标识符,因此我
可以
在数据库中查找它们。 timestamp允许代码过期。我
使用
AES 256在Galois计数器模式,这应该提供保护,以
防止
浏览 0
提问于2012-07-20
得票数 8
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
如何寻找隐藏的漏洞?PHP代码审查之常规漏洞解析
咱妈说别乱点链接之浅谈CSRF攻击
安全渗透测试公司 该如何检测CSRF漏洞
对于跨站伪造请求的理解和总结
大型网站架构之安全性:高安全架构
热门
标签
更多标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
活动推荐
运营活动
广告
关闭
领券