我们有一个基于会话的api。该公司使用laravel获取api,然后将其发送回angular 6,他们使用laravel而不是直接使用数据的唯一原因只是为了防止csrf。有没有可能在不使用服务器端后端的情况下保护csrf?angular拦截器能完成这项工作吗?没有令牌,它是x-session。
浏览 12提问于2018-08-06得票数 0
回答已采纳
1回答
我们有一个网站,其中有一个表单,要求提供一条信息(从下拉列表中选择的状态--这将更改返回的屏幕)。匿名用户与此表单交互。
当我们用Acunetix扫描这个站点时,它报告说表单没有CSRF保护。我的问题是,它需要吗?我以为我们只需要登录用户的CSRF令牌,在表单可以修改后端数据的情况下?
浏览 0提问于2016-07-11得票数 1
回答已采纳
我正在开发一个具有Angular2前端的RESTful Spring后端。我将我的访问令牌(JWT实现)存储在一个httpOnly Cookie中。为了保护自己免受post请求的XSRF攻击,我需要在除登录页面之外的所有页面上启用XSRF保护。但是,当我遇到一个公共API (GET)时,XSRF-TOKEN没有被设置。另外,当我从Angular2提交我的登录表单数据时,系统会提示一
浏览 0提问于2017-01-24得票数 1
2回答
登录表单中的CSRF保护
、、、
我正在使用Symfony 2.1构建一个带有小登录表单的网站。我在CSRF link上学习了教程,但我没有看到任何关于保护的内容。然而,有登录安全性的所有选项,最后我可以清楚地看到应该支持这种类型的保护。我不知道怎么用它
浏览 1提问于2012-10-08得票数 2
回答已采纳
1回答
假设我有一个标准的受HttpSecurity保护的端点,比如:以及特定端点上的验证器我收到了一个请求,要求为我们的大多数端点创建一个新的验证器,但是我并没有在任何地方添加注释,而是认为如果我保护端点会更安全,比如
http.csrf().disable().authorizeRequ
浏览 0提问于2020-07-25得票数 2
我正在学习angular 8,一旦我完成了auth guard主题。我用标记测试了angular中的身份验证。但是,如果我在控制台中代理令牌并将其路由到受保护的组件,它将移动到该组件并公开该组件。后端是安全的,因为它正在验证令牌,所以在后端没有问题。有人知道解决方案吗?在这种情况下,请帮助我??
浏览 18提问于2020-05-18得票数 0
3回答
Angular (2)如何处理XSS和CSRF。它甚至能处理这些攻击吗?如果是这样,我必须做什么才能使用这种保护?如果没有,我是否必须在我的服务器中处理所有这些攻击,或者以某种方式在前端使用TypeScript?在的网页上,我没有找到任何关于这方面的东西(或者我只是错过了)。
浏览 3提问于2016-04-13得票数 25
回答已采纳
我有一个Django网站的中等流量(大约4000/5000访问每天)。今天,我在settings.py上配置了“日志”选项,以发送一封带有“信息”级别的电子邮件,只需检查是否一切正常.令我惊讶的是,我收到了以下错误: Django警告(外部IP):禁忌(CSRF cookie未设置)。我在Firefox和Chrome上测试,清理了所有的cookie.百事大吉。但是我得到这个错误的时间很多,总是有不同的IP,所以我想这不是攻击.我的所有表单都有
浏览 1提问于2012-04-22得票数 5
回答已采纳
1回答
我正在为我的前端应用程序使用Angular,有一个已经建立的后端服务,我正在使用它来检索数据。我无法控制后端服务,它更像是仍在使用的遗留系统。我还用Nest.js实现了一个中间件后端,以确保应用程序的安全,我不想在应用程序的前端公开数据或实现逻辑。然而,我认为可能没有必要包含中间件后端服务,因为Angular是一个成熟的框架,有没有办法通过使用<
浏览 30提问于2021-11-17得票数 0
回答已采纳
1回答
我在前端使用angular js,在后端使用laravel。我有如下的angular js模块angular.module('myapp', ['ngRoute']).run(function($http,CSRF_TOKEN){ });我的</e
浏览 3提问于2015-02-27得票数 0
我使用Django作为我的android应用的后端。我一直在使用@ csrf -exempt注解处理post请求,因为我在从android(VOLLEY库)发送post请求时无法处理csrf验证。现在,我不得不使用django.contrib.auth登录和注销方法,但是当我从安卓发送post请求时,会话不工作。我试着用我的请求在安卓中启用cookies,但也不起作用(启用cookies也没有解决<
浏览 1提问于2018-07-27得票数 5
1回答
我需要从浏览器外部发出HTTP POST请求,但是Rails后端不接受身份验证(错误401)。我知道在这种情况下我需要传递一个CSRF令牌,但是它不起作用。有两个小的更改允许我在没有浏览器的情况下成功:(1)关闭protect_from_forgery,它验证CSRF,或者(2)对请求使用GET而不是POST。在这两种情况下,传递cookie就足够了。这意味着这个问题肯定与CSRF有关。
所以,我<
浏览 1提问于2011-06-02得票数 3
回答已采纳
1回答
我已经在Codeigniter中启用了csrf保护。使用form_open(),我能够生成一个隐藏的CSRF值,应该在我的控制器中进行验证。但是,我没有提交任何输入域,而只是通过表单操作传递了一个url参数。在我的控制器中,我不需要设置验证规则,所以我有
function delete_post($post_id = '') //post id passed via 3rd URL segmen
浏览 0提问于2011-07-29得票数 2
回答已采纳
2回答
对于那些只使用GET和POST的项目,一切都如预期的那样工作。然而,在使用PUT时,我遇到CSRF保护问题,这通常会导致我禁用CSRF保护。我的主要问题是,“为什么Spring Security对待PUT和POST的方式不同?”我的第二个问题是,“考虑到我的项目确实是无状态的,不使用cookie并需要有效的OAuth2承载令牌,禁用CSR
浏览 0提问于2020-09-17得票数 0
回答已采纳
是否有可能在浏览器中运行Angular 2应用程序,而不使用NodeJS作为服务器。我不确定,但是如果我理解正确的话,最新的浏览器能够编译/“理解”TypeScript代码,所以我不需要使用任何第三部分的js来将它编译成普通的javascript?我想创建一个在前端使用100% Angular 2的应用程序,并使用Ruby on Rails为后端REST API创建一个应用程序,而不使用Rails的
浏览 23提问于2016-09-09得票数 31
回答已采纳
1回答
对于使用React在单个页面应用程序上生成会话长CSRF令牌这一主题,我感到非常困惑。从后端检索CSRF令牌的应用程序的最佳方法是什么?从调用API端点获取令牌是安全的吗?
浏览 0提问于2020-03-05得票数 7
我正在做django-angular5项目,我在angular中有一个登录表单,我应该如何将csrf令牌添加到我的表单中?在没有得到这个错误的情况下,我搜索了相同的主题,但是人们正在使用angular js,这对我没有帮助(我使用静态文件构建angular应用程序和im )CSRF verifi
浏览 0提问于2017-12-26得票数 0
我正试着用Laravel Sanctum来做我的SPA。web.php路由中有一些基本主页,但axios应用编程接口与SPA的其他交互位于由auth:sanctum保护的api.php路由中
在官方文档()中,它说我们必须在登录之前向/sanctum/csrf-cookie发送一个请求来初始化CSRF保护。然而,我注意到,即使没有登录,Laravel在默认<em
浏览 21提问于2020-05-24得票数 0
我有一个单页webapp,我正在编写,将采取用户名和api密钥,并将做REST完整的API调用。由于用户使用的是其账户的apikey,因此无需登录。我不是在用曲奇醚。在后端,我使用一个简单的flask服务器。前端是一个自定义编写的,没有框架,主要使用html和普通的JavaScript。我不确定如何在不使用框架的情况下实现CSRF保护。如果不使用
浏览 3提问于2014-02-16得票数 3
我有一个基于Rails后端的主干应用程序。我在发送CSRF令牌时没有问题,但我在注销并想要重新登录时遇到了问题,但它没有验证登录,因为CSRF令牌在注销后发生了更改。有没有办法在不做整个页面请求的情况下拉入这个CSRF令牌,或者我应该总是让浏览器在注销后从服务器刷新整个页面,以防止这种情况发生?如果没有其他办法
浏览 0提问于2013-01-23得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
