腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
反
CSRF令牌是存储在客户端、
服务器
端,还是两者都存储?
、
、
、
、
我一直试图找出一个用户身份验证实现来防止CSRF
攻击
,但是我真的很困惑在哪里存储
反
CSRF令牌。
服务器
向客户端发送响应。我考虑同时使用cookie和localStorage,因为如果对
服务器
的请求同时需要HttpOnly c
浏览 0
提问于2018-10-12
得票数 1
1
回答
在隐藏字段中添加抗CSRF令牌真的可以抵御CSRF
攻击
吗?
、
、
、
如果
攻击
者可以读取隐藏字段,那么在隐藏字段中发送
反
CSRF令牌又有什么用呢? 我正在准备面试,偶然遇到了CSRF。为了让可信
服务器
知道用户是否真的发出了请求,建议应该在浏览器发送的每个请求中添加一个
反
CSRF令牌作为隐藏值。这样,可信
服务器
将知道哪个请求是伪造的,哪个请求不是,因为
攻击
者无法预测反CSRF令牌。但是说
攻击
者可以很容易地看到隐藏的值。这不会使上述建议的缓解措施变得无用吗?我很困惑。
浏览 0
提问于2020-02-27
得票数 1
1
回答
什么是保护REST接口不被会话窃取的正确方法?
、
让我们假设
攻击
者能够将JavaScript注入网站。所以,我想,这个
攻击
媒介是无法合理防御的。但是,如果
攻击
者窃取会话,他可以冒充用户并几乎做任何事情。所以我在考虑如何保护这个向量。当然,
服务器
可以检查IP地址等,但这并不总是可能的。但是还有另一个缺点:第三方网站可以从我的
服务器
制作带有动作的表单标签,并使用用户cookie提交此表单。我们可以使用CSRF令牌,但是它们应该是JavaScript可以使用的,如果JavaScript被破坏,它们可能会被窃取,它们必须在well
服务器
上维护,
浏览 0
提问于2017-09-27
得票数 1
1
回答
%5c的函数。在路径遍历中
、
、
、
这是如何工作的,以及%5c..中URL编码
反
斜杠的用途是什么?
浏览 0
提问于2017-06-28
得票数 4
回答已采纳
1
回答
统一
反
欺骗解决方案
、
我目前正在为一个网站客户端开发团队工作,并需要指导在哪里进行
反
欺骗与团结。我试图阻止脚本执行漏洞(如作者未执行的脚本)和一般的黑客
攻击
,如速度
攻击
、组装注入等。我们已经尝试过
反
欺骗工具包,但它对我们没有很好的效果。我们有
服务器
端脚本(在
服务器
上执行)和客户端/本地端脚本(在客户机/本地执行),我们已经尽力保护这些脚本,但是我们正在研究更多的方法来帮助保护我们,比如
反
欺骗。我们计划在未来可能的投资于付费的
反
欺诈,如战场,易骗等。 我们
浏览 0
提问于2018-10-20
得票数 1
回答已采纳
2
回答
高水平CSRF
、
、
基本上,我所做的是在
攻击
者网站上创建一个php脚本,该脚本请求dvwa页面,收集发送给
攻击
者页面的user_token,然后使用该令牌进一步提交密码new_password和user_token。
浏览 0
提问于2018-11-08
得票数 -1
4
回答
在cookie中存储
反
CSRF令牌
、
我在每个会话中生成一个随机的
反
CSRF令牌,并将其存储在cookie中(设置了http_only标志)。然后,我将该令牌添加到窗体(在隐藏的输入字段中)和链接中。当在
服务器
上接收请求时,我检查表单或链接的cookie和
反
CSRF令牌字段是否存在,并且这两个值是否相同;如果不是,它被认为是CSRF
攻击
,并且请求被拒绝并带有适当的消息。我认为
攻击
者无法读取或设置他不拥有的域的cookie,因此他无法伪造具有相同令牌的请求。
浏览 0
提问于2013-03-18
得票数 9
2
回答
是否需要在
服务器
端生成抗XSRF/CSRF令牌?
、
、
、
几乎所有关于
反
CSRF机制的文档都指出,CSRF令牌应该在
服务器
端生成。不过,我想知道是否有必要。我想在这些步骤中实现
反
CSRF: 在浏览器端,在每个AJAX或表单提交中,我们的JavaScript生成一个随机字符串作为标记。在
服务器
端,每个请求都应该有cookie csrf和提交的参数_csrf。对这两个值进行了比较。如果他们是不同的,这意味着这是一个CSRF
攻击
。
服务器
端不需要发出CSRF令牌,只需进行检查;令牌完全在浏览器
浏览 2
提问于2016-12-14
得票数 4
2
回答
CSRF澄清和解密
、
、
在SPA中,在我的API与发送我的客户端应用程序的
服务器
分离的SPA中,什么是防止CSRF的正确方法?
浏览 0
提问于2019-09-23
得票数 2
1
回答
在标头中发送
反
CSRF令牌是一个很好的实践吗?
如果我们在标头值中发送
反
csrf令牌,这是否是保护应用程序免受
攻击
者
攻击
的最佳方法。
浏览 7
提问于2021-09-08
得票数 0
1
回答
反
CSRF令牌真的保护不受CSRF的影响吗?
然而,我可以想象一个情况,即
反
CSRF没有帮助。我的理解有错吗?情况如下。我的网站(example.com)上有一个带有
反
CSRF标记字段的表单.
攻击
者创建自己的页面(example2.com),然后将js代码放在后台:从它中刮出
反
CSRF标记(因为他可以自己使用它来查看页面的结构)现在,如果这样的情况是可能的,这将意味着整个CSRF
浏览 0
提问于2015-08-12
得票数 0
2
回答
Ubuntu需要
反
恶意软件吗?
我是Ubuntu的新手(12.10),它需要
反
恶意软件吗? Ubuntu最好的
反
恶意软件是什么?我之所以问这个问题,是因为与Windows不同,Linux并不是黑客经常
攻击
的目标,因为Linux用户更精通技术,99%的时间都是如此。Linux没有像windows那样经常受到
攻击
,因为它没有一个庞大的用户社区。
浏览 0
提问于2012-11-29
得票数 2
1
回答
IP拒绝管理器
、
、
我编写了一个
反
暴力
攻击
类,重点放在
攻击
者的IP上。是否可以通过PHP代码向cpanel - IP拒绝管理器添加IP地址。?
浏览 1
提问于2015-09-20
得票数 0
回答已采纳
1
回答
如何检测linux中的恶意软件
、
、
是否有方法检测linux
服务器
中的rootkit/恶意软件?对于windows用户来说,最简单的方法是将其留给防病毒/
反
恶意软件应用程序,但是当您拥有一台在敌对环境中使用了很长时间的Linux计算机时,如何确保您没有受到黑客
攻击
/监视,并且您的数据没有受到破坏。
浏览 0
提问于2018-06-08
得票数 4
回答已采纳
1
回答
HTTPS环境下的抗CSRF令牌
、
在仅由HTTPS访问的web应用程序中使用
反
CSRF令牌真的有意义吗?如果是,那么如果没有
反
CSRF令牌,那么
攻击
这样一个web应用程序的可能方法是什么?
浏览 0
提问于2012-01-10
得票数 7
回答已采纳
1
回答
ASP.NET中的CSRF
、
、
没有特定的
反
csrf令牌。据我所知,为了执行成功的CSRF
攻击
,
攻击
者必须能够同时获得viewstate值和事件验证值。如果是这样的话,表单是否安全,不受CSRF
攻击
?
浏览 0
提问于2014-12-15
得票数 9
2
回答
显示当前
服务器
负载是否存在安全问题?
、
、
黑客以任何方式公开显示当前的
服务器
状态是否有用,例如平均加载时间和内存使用情况? 我能预见的唯一问题是,试图DDoS
服务器
的人将有一个可见的成功指示,或者能够检查模式以选择最佳
攻击
时间。如果我对主机的
反
DDoS设置很有信心,这是一个很大的问题吗?还有没有其他我看不到的问题(我有时很容易错过开放的安全漏洞……)
浏览 2
提问于2012-05-15
得票数 3
回答已采纳
1
回答
是在负载均衡器和IPS后面有用的反向代理。
、
、
、
、
我们有一个Web基础设施和一个Web
服务器
群。他们在一个负载平衡器后面,该负载平衡器可以完成SSL卸载。我们也有一个IPS和一组防火墙。 现在,出于安全原因,我们被要求研究添加反向代理的可能性。
浏览 0
提问于2013-09-12
得票数 0
3
回答
mysql_real_escape_string是否足以进行
反
SQL注入?
、
、
在PHP手册中,有一个说明: 这是否足以
反
sql注入?如果没有,你能给出一个
反
sql注入的例子和一个很好的解决方案吗?
浏览 5
提问于2010-11-13
得票数 7
回答已采纳
2
回答
当使用双提交cookie作为对csrf的保护时,在哪里创建随机密钥重要吗?
、
、
我有一个无国籍的后端和一个水疗中心。除了登录请求之外,所有请求都由标题中的jwt保护。现在,我们已经配置了axios,以便在浏览器中初始化应用程序时创建一个新的UUID。此UUID将被设置为cookies值以及自定义标头。我们知道,这个机制
浏览 0
提问于2023-04-17
得票数 2
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
反爬虫和抗DDOS攻击技术实践
不要成为反DDoS攻击的局外人
服务器被DDoS攻击?如何缓解DDoS攻击?
黑客攻击事件频频发生,如何避免服务器被攻击?
佳能服务器受到黑客攻击
热门
标签
更多标签
云服务器
ICP备案
实时音视频
云直播
对象存储
活动推荐
运营活动
广告
关闭
领券