在文档中描述了如何从CSRF保护中排除路由,但我更喜欢将它们包括在内。有没有办法将CSRF令牌添加到隐藏字段中,它应该有什么名称?浏览一下源代码,我只看到一个添加到AJAX调用的头文件,这是不是意味着与当前版本相比,常规的POST调用不可能变得安全?
浏览 10提问于2019-05-08得票数 1
1回答
UFQPsvy5bx60OL">这些字段不存在于模板代码中,因此我不知道为什么或如何将它们添加到活动页面中这些表格似乎像预期的那样提交和重定向。
浏览 3提问于2021-04-13得票数 0
回答已采纳
如果用户在脱机状态下完成表单,则要提交的数据将存储在IndexedDB中,然后注册一个background-sync;当浏览器重新联机时,将在服务工作器中激发sync事件,然后服务工作器可以从IndexedDB读取数据并通过fetch()将表单提交给后端。这要求我使用合法的CSRF令牌提交表单,该令牌存储在cookie中,但也存储在表单主体(或者更好的是X-CSRFToken头)以及fetch()请求的一部分中。不幸
浏览 7提问于2019-09-04得票数 1
回答已采纳
当我使用django方法返回back后返回时,我得到CSRF验证失败。我可以在Django设置中设置任何东西吗?
浏览 25提问于2017-03-06得票数 1
1回答
现在,我已经在本节中提供了added按钮,这样它就会被添加到表中,并且每当用户单击added时,表就会动态显示。在laravel中,我无法获得添加到表中的数据,因此我选择通过java脚本提交表单,在其中获取表数据,将其转换为数组,并将单个json字符串(请求体)传递给api,然后将数据提取到laravel控制器并存储到数据库中message
error: function(data, status) {
});
浏览 0提问于2020-08-01得票数 0
对于浏览器启动的GET访问和action=GET所在的html表单,一切都很顺利,但对于method=requestMethod.POST所在的服务来说,要么是通过浏览器提交带有action=POST的HTML表单,要么是通过从远程应用程序使用RestTemplate,都会失败。
浏览 0提问于2016-03-01得票数 3
当我测试我的drupal 9网站的安全性时,我得到了一个错误,因为“在HTML提交表单中没有找到反CSRF令牌。”解决方案是“使用反CSRF包,如OWASP CSRFGuard”。但是如何在drupal形式中使用这些。
浏览 0提问于2021-10-18得票数 -2
回答已采纳
1回答
每个AJAX响应包含几个表单,并且每个表单都有自己的CSRF令牌。但是,只有一个AJAX调用能够在会话中存储它的令牌。因此,AJAX请求中的所有表单都将失败,并显示以下消息 The CSRF token is invalid. Please try to resubmit the form.除了设法将其令牌正确地保存在会话中的一种形式。 会话存储在redis中。 在进行多个AJAX调用时,如何确保所有CSRF令牌都存
浏览 9提问于2019-10-02得票数 0
auth_token=whatever”的请求我真的不明白这是怎么回事,因为我相信我在每个ajax请求中正确地发送了X令牌头。,
浏览 2提问于2012-10-24得票数 5
我已经实现了在我的网站上使用CSRF令牌在我的表单隐藏输入字段的CSRF保护。然而,在我的网站上的某些地方,我不使用表单进行某些操作,例如,用户可以单击链接删除某些内容(如/post/11/delete)。目前,这是开放的CSRF攻击,所以我想实现这些链接的预防。我该怎么做?我可以想出两种可能的方法:
将所有链接(例如删除某些链接)变成小表单,其中只有一个隐藏字段( CSRF令牌)和一个
浏览 4提问于2012-01-27得票数 1
回答已采纳
3回答
function addPost(){
$(".matter").html("<form id='form_add_post' onsubmit='return post(event);'>{% csrf_token我也把csrf_token放在了。我已经核对了正在发送的数据。它显示了包括csrf_token在内的所有细节。foYqu9LrR25AomOmcFkaEicmN3CU2wcRNVg1gRPgl2F9XfL6IWerpbSK6TUKd4Ke&
浏览 12提问于2016-11-15得票数 0
回答已采纳
1回答
我跟踪,以防止CSRF在我的网页应用程序。
我可以实现同样的,但我对它如何确切地保护我的webapp应用程序有一个小小的疑问。用户不知道在提交表单时传递的属性。但是,如果攻击者热衷于寻找输入元素(document.getElementById/Name),并使用JS从表单中获取值并在恶意请求中使用它,那么在这里它到底有什么帮助呢?
浏览 4提问于2019-10-08得票数 0
似乎csrf令牌的默认头名是:X-CSRF-TOKEN。<meta name="_csrf" content="${_csrf.token}"/><meta name="_csrf_header" content="${_csrf
浏览 5提问于2014-02-06得票数 4
回答已采纳
我正在使用Node、Express、EJS,并试图在发布的w/ jQuery ajax表单上使用c冲浪。无论我如何配置csrf,我都会得到"403 (禁止)无效csrf令牌“。, saveUninitialized: true, secure: falseapp.use(csrf== 'EBADCSRFTOKEN') return next(err);
浏览 4提问于2015-11-21得票数 5
回答已采纳
1回答
我最近在我的web应用程序中启用了CSRF保护。大约有一些包含表单提交的100+页面。添加CSRF令牌的最佳方式是什么:这样所有提交的表单都将具有此表单数据我不想将此参数添加
浏览 0提问于2016-08-13得票数 1
1回答
我用spring boot创建了后端,其中需要csrf令牌。 "status": 403, "message": "Expected CSRF
浏览 3提问于2015-03-24得票数 3
2回答
我想知道是否可以将crsf令牌放在<head>中,放在元标签或其他东西上,然后在我的服务器上访问它。这将真正简化这一过程,并使其更加透明。我只是不知道该怎么做。
浏览 1提问于2012-07-23得票数 3
回答已采纳
1回答
对于网站,我使用的是代码触发器,其中我已经启用了:现在,当用户尝试从android应用程序登录(也使用该登录)时,android无法查询服务器,因为android应用程序没有csrf令牌。我不想删除csrf保护。有没有其他方法来解决这个问题?
浏览 7提问于2018-01-28得票数 0
回答已采纳
有一些关于的讨论,声称匿名表单不需要csrf保护。查看堆栈溢出html代码,当您没有登录时,您可以看到在以匿名用户身份投递时为他的应答框设置了csrf令牌。这个csrf令牌如何帮助保护匿名用户?
csrf令牌应该与用户会话id相关联。匿名用户的等效值是多少?ip地址?
浏览 4提问于2015-06-10得票数 9
2回答
我知道CSRF实际上是如何工作的,它通常将随机文本存储在会话中,并在HTML表单的隐藏令牌CSRF字段中具有相同的内容。当用户提交表单时,HTML表单令牌分别匹配会话CSRF和validate。问题是,如果我刷新页面,将会生成新的CSRF令牌,并且在下一次刷新之前只有效一次。在这种情况下,如果我在新选项卡中多次打开相同的表单并提交后续表单,框架或
浏览 8提问于2017-12-29得票数 0
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
