1回答
没有剃须刀页面的ASP.NET核心API,使用单独的web应用程序进行前端和反伪造标记--这有意义吗?
c#、asp.net-core、.net-core、cors、antiforgerytoken
是否有必要通过使用防伪令牌来处理XSRF/CSRF的严格后端API,而最终将被迫使用一个为用户提供静态内容的特定web域来处理跨站点web请求?后端API使用cookie来帮助用户进行身份验证,因此需要考虑CSRF,但是通过使用CORS,后端API将只接受与特定域的通信。
这里有什么问题吗?而且,如果防伪令牌是有意义的,那么当前端位于一个完全独立的域时,它们将如何
浏览 4提问于2022-01-27得票数 -1
回答已采纳
1回答
紧密耦合视图:在POST方法上将普通值发送到服务器:使用任何工具黑客都可以轰炸
asp.net-mvc-3、security
我有一个添加/编辑用户页面,其中我使用了紧密耦合视图。因此,每当最终用户要添加/编辑用户(在我们的术语POST方法中)时,发送到服务器的所有值都是纯文本。最终用户可以很容易地修改请求,或者服务器可能会被相同的请求轰炸,只是更改了一些值。我可以知道如何限制它吗?
浏览 1提问于2012-05-07得票数 0
1回答
是否有可能恶意网站通过发送get请求来访问防伪令牌?
asp.net-mvc、csrf、antiforgerytoken
在跨站点请求伪造时:为了防止它,程序员使用了一个防伪令牌,这个令牌是一个包含随机值的字符串,除了HTML表单之外,这个令牌还会放在您的cookie中。当web应用程序收到请求
浏览 10提问于2018-02-27得票数 1
回答已采纳
1回答
将剃须刀页中ajax post的目标从控制器中的api更改为同一剃刀页中的“代码隐藏”post处理程序。
jquery、asp.net-core、razor-pages
我在我的index.cshtml剃须刀页面上发布了以下ajax文章,它运行得很好: url: "/api/LearningTasks/create", dataType: "json"它将post发送给我的控制器,代码接收工作正常。看起来是这样的: [Route("api/LearningTasks/create")]
public async Tas
浏览 1提问于2020-02-19得票数 0
回答已采纳
1回答
从MVC页面到传统ASP.NET页面的防伪令牌使用
asp.net、asp.net-mvc
我正在使用防伪令牌来避免跨站点请求伪造。假设我有一个动作方法- // code它使用令牌来阻止CSRF。当从经典的ASP.NET页面进行调用时,这会显示错误。
Reason:: Anti-forgery token is not embedded in ASP.NET pages it seems.
浏览 0提问于2012-02-28得票数 0
2回答
MVC4 WebAPI + JSON认证
asp.net-mvc、json、post、forms-authentication
我向Account/Login发送了一个POST请求,内容类型为application/json;charset=utf-8,但是我一直收到以下错误消息:
我已经在网上看过了,但是这些都涉及到一个基于asp.net的解决方案--我将从iOS /Android中提出这些请求</
浏览 4提问于2012-11-10得票数 2
回答已采纳
1回答
使用struts令牌防止跨站点请求伪造
java、struts、cross-domain、struts-1
我想为我的基于struts 1.x框架的web应用程序实现跨站点请求伪造预防。我知道struts 2框架为此提供了令牌拦截器,我可以使用过滤器实现类似的功能。我对一些想法感到有点困惑:1)如何以简单的方式生成唯一的令牌?(我能否为此使用Action类令牌,用于避免重复提交表单)
使用struts 1.x框架令牌机制预防CSRF有什么问题吗
浏览 0提问于2010-11-29得票数 21
回答已采纳
1回答
为什么MVC防伪造令牌不能跨子域工作?
asp.net-mvc、asp.net-mvc-5、antiforgerytoken
authentication.mydomain.com
<em
浏览 3提问于2016-07-17得票数 2
2回答
使用JQuery的serialize方法将表单发送到控制器时出现的任何问题
asp.net-mvc、forms、security、serialization、jquery-post
我使用Ajax将表单从我的视图发送到控制器,并使用$("#formid").serialize()序列化表单值。在发布表单之前序列化表单是否存在任何安全问题或性能问题?
浏览 2提问于2013-05-09得票数 0
2回答
ValidateAntiForgeryToken并没有做它应该做的唯一的事情
asp.net-mvc、asp.net-core、razor-pages、antiforgerytoken
我正在将AntiForgeryToken特性实现到我的asp.net核心mvc项目。与往常一样,我在表单标记中包含了@Html.AntiForgeryToken(),所以如下所示: @Html.AntiForgeryToken() <button type="submit">Subm
浏览 4提问于2022-08-04得票数 0
回答已采纳
2回答
防伪令牌盐的用途是什么?
asp.net-mvc、security、csrf、session-fixation
在ASP.NET MVC1.0中,有一个用于处理跨站点请求伪造安全问题的新功能:[ValidateAntiForgeryToken]{}
我发现在html表单中生成的令牌在每次呈现新表单时都会发生变化。我想知道这些令牌是如何生成的?当使用某些软件扫描此站点时,它会报告另一个安全
浏览 1提问于2009-09-10得票数 17
回答已采纳
1回答
使用Razor在ASP.NET MVC中自动添加防伪令牌
asp.net-mvc、security、razor、antiforgerytoken
为了防止跨站点请求伪造,您需要为每个表单添加一个防伪令牌。德语 ()声明在@Html.BeginForm之后将自动添加一个带有令牌的隐藏字段,但看起来这是不正确的。
浏览 1提问于2017-10-19得票数 2
2回答
MVC.NET如何在编辑后保护提交表单的安全
asp.net-mvc、form-submit
当我想提交一个表单来保存一个编辑的记录时,我应该把它的Id传递给控制器。然后,客户端(或攻击者)可能会更改表单上的一些信息(例如这个Id),而我不想被更改。我可以创建一个哈希隐藏字段,以检查只读字段没有被更改,并在提交到控制器时验证它。在这个问题上还有其他好的做法吗?
浏览 0提问于2020-03-14得票数 1
回答已采纳
2回答
防伪令牌功能安全吗?
asp.net-mvc、antiforgerytoken
我有一个关于Mvc反伪造令牌的问题。在mvc剃须刀页面中,我们可以将代码:@Html.AntiForgeryToken()放在表单中,它将生成一个令牌,这个令牌将被填充到一个隐藏的输入字段中,如:
<input name="__RequestVerificationTokenc2nyVA-q2OCingcgKLPNhSSeyuS_WaTmAGzpo3F5gUq9Wx89iXH1ujq6ZwGG5rO8v_F-4hYj5gEVZ1-E-DpxkcO7zIjMUKVH1bjPMo7Ot3UJHLl5r9isfCLyiOA1&q
浏览 2提问于2014-06-24得票数 3
回答已采纳
1回答
注册Fitbit时的自定义ID
python、flask、oauth-2.0、callback、fitbit
'<a href="%s">Authenticate with fitbit</a>' % FITBIT_AUTHORIZATION_URL@app.route('/fitbit_callback') error = request.args.get
浏览 1提问于2019-01-06得票数 0
回答已采纳
1回答
所有表单都应该检查ASP .NET Web中相同的防伪令牌吗?
asp.net-core、asp.net-web-api、antiforgerytoken
下面是一个场景:builder.Services.AddAntiforgery(options => options.HeaderName = "客户端将更新后的对象发送回API (头中包含了防伪造令牌)。我的问题是,你如何确保防伪令牌是为那个特定的表格发送的,你应该吗?如果客户端可以使用相同的防伪令牌来填写任何表单,那么为什么不在用户登录时将其发送给客户端呢?你
浏览 10提问于2022-10-28得票数 0
回答已采纳
4回答
Asp.Net核心中的[FromForm]和[FromBody]有什么区别
asp.net-core
如果我使用FromForm,会不会出现安全问题?
浏览 5提问于2019-08-23得票数 16
回答已采纳
1回答
使用Laravel 5和角4发行、访问和使用api令牌
angular、api、authentication、laravel-5、token
我正在用Laravel5.5和角4构建一个SPA,我对验证我的api请求的“最佳”(安全、可靠、最佳实践等)方法感到困惑。在一些基本教程之后,我有以下设置:为每个用户分配一个60字符的随机字符串,作为他们的api令牌。在他们登录后,使用他们的用户名和密码,api令牌将直接输出到标题中的meta标记中。然而,我后来读到,令牌不应该通过非SSL连接传递(以避免中间人攻击),并且令牌应该自动生成/设置为过期等等。
对于单个页面应用程序,只使用内
浏览 1提问于2017-10-20得票数 0
1回答
jester中的CSRF防伪令牌
security、nim-lang、jester
在nim中,jester模块提供web服务,我对此表示感谢,但我们是否支持跨站点防伪令牌?(针对CSRF攻击)
就像ASP.net提供的。
浏览 4提问于2018-02-19得票数 3
回答已采纳
1回答
在Asp.NET MVC 4中的应用
jquery、asp.net-mvc-4
我正在使用Ajax post方法,不知道这些方法是否安全。我很担心Ajax的安全性。下面的代码如何保护我的应用程序。我在AntiForgeryToken中使用了普通的post表单,就像ajax一样。
浏览 3提问于2013-08-22得票数 1
回答已采纳
云服务器
对象存储
ICP备案
云点播
腾讯会议
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号