绕过XSRF令牌检查
XSRF(Cross-Site Request Forgery)令牌检查是一种用于防止跨站请求伪造攻击的安全机制。该攻击方式利用用户在已登录的网站上的身份验证信息,通过伪造请求来执行恶意操作。
XSRF令牌检查的原理是在每个表单或者请求中添加一个随机生成的令牌,该令牌与用户会话相关联。当用户提交请求时,服务器会验证令牌的有效性,如果令牌无效,则拒绝该请求。
绕过XSRF令牌检查是指攻击者通过某种方式绕过了服务器对XSRF令牌的验证,成功执行了跨站请求伪造攻击。为了防止绕过XSRF令牌检查,开发人员可以采取以下措施:
- 使用框架或库:许多流行的Web开发框架和库(如Django、Spring等)提供了内置的XSRF保护机制,开发人员可以直接使用这些机制来防止XSRF攻击。
- 添加XSRF令牌:在每个表单或请求中添加一个随机生成的令牌,并在服务器端进行验证。这样可以确保请求来自合法的源,并且不会被攻击者伪造。
- 限制跨域请求:通过设置适当的CORS(跨域资源共享)策略,限制跨域请求的访问权限,防止攻击者利用跨域请求进行XSRF攻击。
- 使用SameSite Cookie属性:将Cookie的SameSite属性设置为Strict或Lax,可以限制Cookie只能在同一站点上发送,从而减少XSRF攻击的风险。
- 验证Referer头部:在服务器端验证请求的Referer头部,确保请求来自合法的源。然而,需要注意的是,Referer头部并不是完全可信的,因为它可以被篡改或者被某些浏览器禁用。
腾讯云提供了一系列安全产品和服务,可以帮助用户保护应用程序免受XSRF攻击。例如,腾讯云Web应用防火墙(WAF)可以检测和阻止XSRF攻击,腾讯云内容分发网络(CDN)可以提供更快速和安全的内容传输,腾讯云安全组可以限制网络访问权限等。
更多关于腾讯云安全产品的信息,请参考腾讯云安全产品介绍页面:腾讯云安全产品
请注意,以上答案仅供参考,具体的安全防护措施应根据实际情况和需求进行选择和实施。
相关·内容
我致力于解决AngularJS应用程序上的漏洞。我的应用程序中存在跨站点请求伪造漏洞。
我已经把XSRF令牌放在cookie中了。
在app.js模块中:
$http(req).then(function(result) {
$cookieStore.put('XSRF-TOKEN', result.data.session);
}, function(error) {
console.log(error);
}
);
...
...
if ($cookieStore.get('XSRF-TOKEN') == null || $c
浏览 5提问于2020-06-02得票数 0
我已经读了几天了,我有两个问题
1) --如果我将访问令牌存储在本地存储中,并将刷新令牌存储在HttpOnly cookie中,是否需要担心HttpOnly?如果攻击者在发出请求时作弊,则好用户将收到响应。请求新访问令牌和刷新令牌并不坏,攻击者无法窃取响应的内容。这是真的吗?
如果攻击是XSS,则可以进行相同的攻击,就好像它还将访问令牌存储为HttpOnly cookie一样.这是不好的。但是,如果您将刷新令牌存储在本地存储中,这将是非常糟糕的,您可以更新访问令牌。
使用这种方法,我不应该担心XSRF,但是如果我将两个令牌存储在HttpOnly cookie中,我必须担心XSRF (为了避免X
浏览 3提问于2020-07-16得票数 0
仅仅编写以下代码以防止客户端的app.module中的XSRF/CSRF是否足够?
HttpClientXsrfModule.withOptions({
cookieName: 'XSRF-TOKEN',
headerName: 'X-XSRF-TOKEN'
})
还是服务器(Express/NestJS)上仍然需要一些额外的逻辑?
浏览 0提问于2019-08-07得票数 1
1回答
我正在使用烬-简单-auth和一个自定义身份验证器的HTTP基本登录与CSRF保护。一切正常,除了有时我的还原方法会解决应该失败的时间,就像会话到期时一样。
当身份验证成功时,我使用csrf令牌进行解析,但是当令牌或会话过期并刷新页面时,解决方法仍然成功,因为我所做的只是检查令牌是否仍然存在(而不是它是否有效)。我知道这是错误的,所以我想我的问题是什么是正确的方法来处理这件事?我是否也应该使用会话id进行解析?我是否应该在restore方法中用存储的令牌发送AJAX请求,以查看它是否仍然有效并返回成功?我也想听听我能做的任何其他改进。
这是我的身份验证代码:
import Ember from
浏览 4提问于2017-01-26得票数 0
回答已采纳
我有一个MVC站点,有一个嵌入式的角客户端,我最近实现了一个防伪XSRF令牌,作为一种安全措施。
我在Startup.cs中将其设置如下:
services.AddAntiforgery(options => options.HeaderName = "X-XSRF-TOKEN");
app.Use(next => context =>
{
if (string.Equals(context.Request.Path.Value, "/", StringComparison.OrdinalIgnoreC
浏览 6提问于2017-07-04得票数 1
1回答
我是AngularJS和PythonTor旋风的新手,目前正在进行CSRF/XSRF检查。当我第一次向"WebService.py“发送GET请求时,我检查了标题中的”WebService.py“返回"set- cookie”,并且在我签入浏览器时创建了cookie。但龙卷风保持显示"'_xsrf‘论点丢失了从后“错误时,邮政请求发送到”测试“.
在检查POST请求的头后,我发现xsrf在报头中被发送,名称为' cookie‘(ex: Cookie:PHPSESSID=xxx;csrftoken=xxx=xxx;csrftoken=xxx;_xsrf=x
浏览 1提问于2015-08-10得票数 2
回答已采纳
我有一份申请。此步骤用于注册用户,因此它是POST方法。报名表的提交服务如下:
homeApp.factory('mainService', ['$http', function($http) {
var mainService = {};
mainService.signupArtist = function(data){
var promise = $http.post('../user/register/artist', data) .then(function(response
浏览 4提问于2015-09-06得票数 0
回答已采纳
如果从服务器请求一个XSRF令牌并在整个会话中重用它(或)是否就足够了,我应该首先请求每个有保护价值的操作,比如保存、编辑或删除一个新的XSRF令牌,然后执行实际的请求吗?
之所以会出现这个问题,是因为我不明白为什么我的XSRF保护请求能够工作,即使我没有请求一个新的请求:
public void saveName(Long shopId, Long languageId, String name, OnSuccessCallback<String> success, OnFailureCallback failure) {
Request.<String>
浏览 2提问于2016-05-21得票数 0
我正在更改后端每个请求的xsrf-token cookie值。我一次对服务器进行多个http调用,但对于某些请求,“xsrf”值和“xsrf header”值不一样。
我尝试通过参数手动添加x-xsrf- header ,但是头值不是最新的。
这是我试过的代码,
this.http.post<any>(route, paramas, {
headers: new HttpHeaders({
'X-XSRF-TOKEN': this.cookieService.get("XSRF-TOKEN"),
})
})
浏览 0提问于2018-05-22得票数 3
3回答
我们目前正在开发一个完全基于AJAX的应用程序,它将通过RESTful API与服务器交互。我已经考虑过防止XSRF攻击API的潜在方案。
用户对会话cookie进行身份验证和接收,会话cookie也是与每个请求一起双重提交的。
我们在Javascript中实现OAuth使用者,在用户登录时检索令牌,并使用该令牌对所有请求进行签名。
我倾向于使用OAuth方法,主要是因为我希望提供对API的第三方访问,并且我不希望实现两个身份验证方案。
在这种情况下,OAuth使用者有什么理由不能工作吗?
浏览 2提问于2009-05-23得票数 7
1回答
没有模板的龙卷风XSRF令牌
、、、、
目前,我正在实现一个项目,其中包含了一个在“旋风”上使用骨干的Marionette,并且遇到了XSRF令牌的问题。由于XSRF不是通过模板(通过xsrf_form_html() )传递的,所以当应用程序中的用户日志向登录url "// login“发出GET请求并通过以下方式检索xsrf令牌时:
class LoginHandler(BaseHandler):
"""
"""
def get(self):
token = self.xsrf_token
self.respond(dict(_xsrf=token))
se
浏览 3提问于2014-08-07得票数 3
回答已采纳
1回答
我试图为我的应用程序实现XSRF。我遵循了提供的指南。我甚至设置了一个演示,它运行良好。正如指南中提到的,我用另一个异步调用结束了异步调用,以获得XSRF令牌,一切都正常。
XsrfTokenServiceAsync xsrf = (XsrfTokenServiceAsync)GWT.create(XsrfTokenService.class);
((ServiceDefTarget)xsrf).setServiceEntryPoint(GWT.getModuleBaseURL() + "xsrf");
xsrf.getNewXsrfToken(new AsyncCallbac
浏览 3提问于2014-02-26得票数 0
回答已采纳
1回答
我在Gruyere 上读过关于XSSI攻击预防的文章。
的三个主要建议从Gruyere到防止 XSSI攻击:
首先,使用前面讨论过的XSRF令牌来确保只将包含机密数据的JSON结果返回到您自己的页面。
其次,您的JSON响应页面应该只支持POST请求,这将阻止通过脚本标记加载脚本。
第三,您应该确保脚本是不可执行的。这样做的标准方法是在其上附加一些不可执行的前缀,如:]while(1);
另外两项:
JSON有一个名为JSONP的变体,您应该避免使用它,因为它允许通过设计注入脚本。
还有E4X (Ecmascript ),它可以将您的HTML文件解析
浏览 2提问于2019-11-10得票数 0
我是一个网络应用新手。我知道XSRF保护问题是这样问的,但是这些问题是特定于特定语言(例如RoR/Python)或库(jQuery)的。我想知道如何在我的web应用程序中实现XSRF保护。
我的理解是,XSRF保护依赖于使用在发出HTTP请求时必须进行身份验证的唯一随机令牌。我有以下问题:
何时应该初始化身份验证令牌?应该在页面加载(即GET请求)上设置它吗?
应该在哪里初始化令牌?应该在输入字段、cookie或请求头中设置它们吗?这个随机值是如何产生的?如何持久化此值以便用于比较?
什么时候应该验证身份验证令牌?如何比较身份验证令牌?如何将这些令牌与我坚持的令牌进行比较?
浏览 0提问于2013-08-03得票数 0
csrf_token和XSRF令牌是通过角添加的
$http.defaults.headers.common['csrf_token'] = CSRF_TOKEN;
$http.defaults.headers.common['X-XSRF-TOKEN'] = X_XSRF_TOKEN;
该项目在本地服务器上运行良好,但不在生产中。我在提交表单后看到了TokenMismatchException,Auth::see ()在登录期间运行良好。但是在登录之后,当我通过Auth:: user ()->id访问用户的id时,我就没有看到任何登录用户。
我还在本地服
浏览 0提问于2016-10-14得票数 2
回答已采纳
我正在开发一个带有Laravel后端的AngularJS网络应用程序。
我想启用跨域请求的CSRF保护。有可能吗?
“跨站点请求伪造”中的表示“将不会为跨域请求设置标题”。
查看开发人员工具日志,我发现在$http.post调用之后发送了预运行请求(选项动词),并且设置了XSRF令牌cookie,但是POST请求没有cookie,所以我做不到:
$http.defaults.headers.post['X-CSRFToken'] = $cookies['XSRF-TOKEN'];
有什么想法吗?
更新:
@zero根L:我试着用
$http.defaults.h
浏览 4提问于2015-11-12得票数 0
回答已采纳
CookieCsrfTokenRepository.withHttpOnlyFalse()将XSRF令牌存储在cookie中,并允许前端使用JS代码提取cookie内容。前端然后将XSRF令牌附加到http报头。
但是,如果黑客注入一些恶意的JS代码来读取cookie中的XSRF令牌,并将XSRF令牌添加到伪造的http请求的http头中并发送它,该怎么办?我认为后端会认为这个请求是合法的。这不危险吗?
浏览 24提问于2022-10-29得票数 0
回答已采纳
我们正在对代码进行XSRF修复。我们使用会话令牌请求令牌比较方法来实现这一点。如果会话令牌与请求令牌不相等,我们将重定向到错误页面。
Problem:一旦我们进入主菜单页面,如果用户“刷新”页面,就会引发XSRF问题。原因:因为不会有任何请求令牌(当我们进行页面刷新时)。由于请求令牌为NULL,并且它不等于会话令牌,所以它抛出了XSRF错误。
应用程序的用户对这种方法并不满意。那么有什么方法可以启用页面刷新吗?或者禁用页面刷新(为了安全)是绝对必要的/重要的吗?
提前谢谢。
浏览 1提问于2010-04-23得票数 0
在发出ajax请求时,我在标头中发送CSRF令牌。
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': getCookie("XSRF-TOKEN")
}
});
在上面的代码中,我从"XSRF-TOKEN“cookie中获取令牌,并为所有ajax请求全局设置"X-CSRF_TOKEN”头部。
我已经签入了chrome开发者工具,这个标题正在被发送。
但是Laravel仍然抛出TokenMismatch异常。
备注I无法从html获得令牌,如元标记或输入字段,因为html内容正在缓存,
浏览 8提问于2018-06-18得票数 2
回答已采纳
3回答
为什么使用会话id的签名版本作为 (XSRF/CSRF)预防令牌,而不是使用会话ID本身?
(对于XSRF预防令牌,我指的是必须包含在表单提交中的神奇值,webapp才能接受该表单。)
如果有窃听者,他会找到XSRF令牌和SID cookie (?)。
如果存在XSS漏洞,则恶意JavaScript代码可以同时读取XSRF令牌和SID (?)。
然而:
给定SID,攻击者无法构造有效的XSRF令牌,因为S/他在签署SID以获得XSRF令牌时没有使用密钥。--但攻击者怎么可能只获得SID,而不是XSRF令牌?是不是太牵强了?
如果SID是在HTTP仅发送的cookie中发送的,那
浏览 5提问于2011-08-06得票数 19
回答已采纳
1回答
Checkmarx XSRF问题
、、、、
Checkmarx在我们的web应用程序中抱怨XSRF问题。我们使用的是框架4.0的ASP.NET web表单(而不是MVC)。
Checkmarx说:方法btnSubmit_Click在\ABC.aspx.vb的第1760行从来自元素文本的用户请求URL获得一个参数。此参数值在代码中流动,并最终用于修改数据库内容。应用程序不需要对请求重新进行用户身份验证。这可能会导致跨站点请求伪造(XSRF)。
对如何防止XSRF从ASP.NET Webform应用程序中有什么想法吗?
我们尝试了很多解决方案,但没有一个通过Checkmarx:以下是我们尝试过的一些东西:
或
或
我认为上述解决方案应
浏览 1提问于2019-03-06得票数 0
1回答
这是github上Angularjs1.6.4中文件http.js的一个片段:
var xsrfValue = urlIsSameOrigin(config.url)
? $$cookieReader()[config.xsrfCookieName || defaults.xsrfCookieName]
: undefined;
if (xsrfValue) {
reqHeaders[(config.xsrfHeaderName || defaults.xsrfHeaderName)] = xsrfValue;
}
为什么只有在请求具有相同来源的情况下才包含XSRF令牌
浏览 2提问于2017-05-22得票数 0
回答已采纳
1回答
我正在做的一个项目中使用了Facebook的Tornado web engine for Python,并计划实现XSRF保护,但这让我有点困惑。
对于一个典型的请求,它会在用户的浏览器中设置一个"_xsrf“cookie (如果没有找到),然后将其与浏览器随请求发送的HTMLform值中嵌入的值进行匹配。
好吧,假设一个攻击者做了这样的事情:
<img src="blah.com/transfer_money?account=0098&destination=0099&_xsrf=
(whatever the client's cookie co
浏览 1提问于2013-07-11得票数 3
回答已采纳
我正在用Angular.js实现一个网站,它正在访问一个ASP.NET WebAPI后端。
Angular.js有一些内置的功能,可以帮助进行抗csrf保护。对于每个http请求,它将查找名为"XSRF-TOKEN“的cookie,并将其作为名为"X-XSRF-TOKEN”的标头提交。
这依赖于set服务器能够在对用户进行身份验证之后设置XSRF-TOKEN cookie,然后检查传入请求的X-XSRF-TOKEN标头。
声明:
要利用这一点,服务器需要在第一个HTTP GET请求时在名为XSRF-TOKEN的JavaScript可读会话cookie中设置一个令牌。对于后续的非
浏览 96提问于2013-03-22得票数 71
回答已采纳
1回答
我在OAuth SPA中使用资源所有者密码凭据AngularJS 2.0流。有几篇文章(,.)的答案是,我们不应该在(web)客户端(LocalStorage)上存储刷新令牌,而是将它们存储在HttpOnly Cookie中,并使用代理API实现refreh令牌的解密,从而将其转发到安全令牌服务。
大多数文章都暗示我们应该通过使用一种常见的保护机制来关心CSRF。我想知道在一个页面应用程序中什么是最好的解决方案。
角引用解释了我们应该如何对抗CSRF的默认机制:服务器必须设置一个名为XSRF-TOKEN的cookie。此cookie必须具有Javascript可读性,以便我们可以在请求中设置X
浏览 6提问于2015-06-03得票数 9
2回答
好的,已经搜索了好几个小时了,只是找不到解决方案的开始。
我使用的是一个angularJS前端和一个拉拉后端。餐厅是我的交流服务。
我的文章很好,因为我可以在数据中包含_token,并且它会工作。
但是对于赖斯特尔来说,调用一个毁灭函数看起来就像.
Restangular.all('auth/logout').remove(); //maps to AuthController@Destroy
好的,但是你会得到一个TOKENMISMATCH异常,这是一个很好的安全混乱。
由于我无法找到将_token包含到删除中的方法,因为它本质上没有身体,所以我决定将令牌放在标头中。
Res
浏览 3提问于2014-12-04得票数 4
回答已采纳
1回答
我有一个使用Django DRF实现的REST。
我的API在从my-domain.com中使用时工作得很好,但是我希望这个API可以从任何来源访问。
我使用以下配置实现了CORS/CSRF:
CSRF_COOKIE_NAME="XSRF-TOKEN"
CSRF_HEADER_NAME="HTTP_X_XSRF_TOKEN"
CSRF_TRUSTED_ORIGINS = (
'my-domain.com' # I have tried adding my ip address here, but no luck
)
CORS_OR
浏览 2提问于2019-08-28得票数 0
我们目前正在开发一个带有Slim后端的Angular4应用程序。现在我们要实现XSRF保护。没有关于Angular2或Angular4的官方教程,如何在客户端使用类XSRFStrategy、CookieXSRFStrategy等,这是正确的吗?(我们在服务器端放置了一个XSRF令牌cookie,并习惯于以角度发送XSRF令牌-报头参数)。
我们在论坛上发现了很多线索,但是,所有的案例.在"“页面上也没有关于如何使用它的详细信息。还是我错过了什么?有人有小费吗?
谢谢!
浏览 2提问于2017-08-09得票数 2
回答已采纳
我正在制作SPA,并决定使用JWT进行身份验证/授权,我已经阅读了一些关于令牌和Cookies的博客。我了解cookie授权是如何工作的,并了解基本令牌授权是如何工作的。问题是,我不认为刷新令牌适合它,在我看来,它降低了安全性。在我看来,让我解释一下:
Cookie方法
当您通过用户名和密码对用户进行身份验证时,可以创建与该用户关联的会话ID。并将其设置为cookie,每次客户端调用您的服务器时,它都会发送该cookie,服务器可以在数据库或其他服务器端存储中查找相关用户。
此方法易受CSRF (跨站点请求伪造)的攻击,以防止CSRF您可以在cookie中使用令牌。
Server还需要不断查找
浏览 1提问于2020-07-20得票数 38
回答已采纳
我试图禁用特定网址的Csrf。以下是我迄今所做的工作:
public HttpSessionCsrfTokenRepository csrfTokenRepository() {
final HttpSessionCsrfTokenRepository tokenRepository = new HttpSessionCsrfTokenRepository();
tokenRepository.setHeaderName("X-XSRF-TOKEN");
return tokenRepository;
}
@Override
protected voi
浏览 3提问于2015-06-28得票数 1
回答已采纳
我希望用我的.NET核心2 API来使用XSRF令牌。我用的是Vue.Js前端。
我按照这里的指示正确地配置了后端:
登录后,我创建一个名为“XSRF”的cookie,并在Vue中编写了一个拦截器来模拟AngularJS所做的事情,它查找该cookie,并将XSRF令牌与头部“XSRF”附加到受AutoValidateAntiforgeryToken属性保护的控制器路由。
下面是在cookie持久化并完成登录后发出的Post请求的示例跟踪:
POST /api/auth/Test HTTP/1.1
Host: localhost:5000
Connection: keep-alive
Co
浏览 0提问于2018-04-11得票数 0
回答已采纳
我目前正在学习Laravel (并不是很顺利),我已经配置了几条路线来测试使用圣所进行认证的情况。
我正在构建一个只有laravel服务的API,它的计划是一个ReactJS项目将使用该API。
目前,我不使用ReactJS和使用失眠REST客户端来测试API。
我有一个注册新用户的路由,日志记录,然后是另一个只返回经过身份验证的用户以证明身份验证机制工作正常的路由。
我对CSRF并不了解太多,但我的理解是,我请求一个新的CSRF令牌,然后对每个对API的请求使用这个CSRF令牌,因此,例如,当我登录并从相应的路由获得经过身份验证的用户时,CSRF令牌cookie也会被发送,因此如果发送了一个
浏览 3提问于2021-06-14得票数 7
回答已采纳
2回答
如果我在每个RPC请求中传递一个自生成的sessionID,并且只检查这个sessionID而不是cookie头中传递的sessionID,那么会话不会被恶意站点劫持,这是正确的吗?我知道您也应该在cookie中发送这个sessionID,然后将它与每个请求中发出的检测XSRF攻击的请求进行比较,但是按照我的方式至少应该可以防止XSRF攻击,不是吗?
编辑
我知道GWT 2.3通过提供XSRF令牌支持来处理XSRF。遗憾的是,我被GWT2.2困住了,所以必须自己来处理。
浏览 1提问于2011-05-25得票数 2
回答已采纳
我没有成功的野蛮强制HTTPS表单(用户名和密码),它有XSRF令牌和每次请求会话cookie,使用九头蛇。
我想知道XSRF令牌和每个请求会话cookie的存在是否减轻了强制登录凭据的安全风险?
浏览 0提问于2018-07-14得票数 0
我们有一个使用cookie认证的带有角SPA的ASP.NET核心2.2web应用程序。
我正在跟踪文档到。
相关的代码片段是:
services.AddAntiforgery();
public void Configure(IApplicationBuilder app, IAntiforgery antiforgery)
{
app.Use(next => context =>
{
string path = context.Request.Path.Value;
if (
string.Equals(p
浏览 8提问于2019-10-04得票数 3
回答已采纳
如何在Google Cloud Print中获取XSRF Token?
当我试图提交作业打印时。它总是收到消息"XSRF令牌验证失败。“
我已经在中签入了“检查元素”。还有一个名为'xsrf‘的隐藏文本输入。
如何获取XSRF Token?
浏览 1提问于2013-06-25得票数 5
回答已采纳
我正在尝试执行一个AJAX提交给Laravel。根据Laravel的文档,我需要添加一个CSRF令牌作为请求头和POST参数。我正在从XSRF-TOKEN cookie中检索CSRF令牌,这在文档中也有描述:
// Grab XSRF cookie.
var csrf_token;
var cookies = document.cookie.split(';');
for(cookie_offset in cookies) {
var cookie_parts = cookies[cookie_offset].split('=');
if(coo
浏览 1提问于2015-07-15得票数 0
回答已采纳
1回答
我有一个带有表单的laravel应用程序,在该表单的GET请求(example.my.lan/form)中,用户收到一个*_session cookie和一个XSRF-TOKEN cookie。现在,我试图通过命令行上的example.my.lan/form/confirmation调用控制器( cURL )
curl -vvv -k -X POST -d "param1=value1¶m2=value2" \
-H "Content-Type: application/x-www-form-urlencoded" \
--cookie "
浏览 1提问于2019-03-01得票数 0
回答已采纳
我用laravel设置了一个实现XSRF的钩子:
视图
@section('content')
<div class="content" data-ui-view></div>
<script type="text/javascript">
window.user = <% $data['user'] %>;
document.cookie = "XSRF-TOKEN=<% $data['token'] %>
浏览 1提问于2014-07-15得票数 0
回答已采纳
1回答
弹簧安全与角度
、、
我使用角在前端和处理安全与弹簧安全在后端。
但是,Spring不对用户进行身份验证。无论是有效的还是无效的,它的行为都是一样的。我想捕获无效用户或密码的“坏凭据”和有效凭据的用户数据。我的问题是什么,我该如何处理?谢谢
弹簧安全配置
@Bean
public BCryptPasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public JdbcUserDetailsManager userDetailsManager(AuthenticationManager auth
浏览 1提问于2015-09-07得票数 0
回答已采纳
1回答
目前,我正试图为一个网站的用户生成器,有一个基本的问题,我一直面临。下面的代码工作,但它打印出来的是
由于不活动,该页已过期。请刷新并重试
我已经看到了其中的一些解决方案,包括使用xsrf,但是要么我做错了什么,要么它与令牌无关。
with requests.Session() as s:
s.get('http://www.watchill.org/register')
token = s.cookies["XSRF-TOKEN"]
agent = {"User-Agent": "Mozilla/5.0 (Windows
浏览 0提问于2019-08-19得票数 0
我的Laravel应用程序与另一个使用XSRF-TOKEN cookie的web应用程序托管在相同的域名上(一个应用程序只在一个子域上,另一个应用程序在多个子域上)。这两个cookie是冲突的。有没有办法将Laravel的cookie重命名为类似XSRF-TOKEN_Second的名称?我使用的是Laravel版本6。如果之前有人问过这个问题,我很抱歉,因为我找不到答案。谢谢!
浏览 41提问于2021-07-21得票数 0
1回答
我面临一个疯狂的问题,我有一个网站运行在生产和我试图缓存我的索引页面使用“页面规则”从cloudflare加快它,它现在没有动态的内容。
问题是它不起作用,可能是因为laravel总是返回带有XSRF令牌的视图,cloudflare会理解它是不可持续的,我已经更改了报头(缓存控制: max-age=36000,public),但是cloudflare总是在返回时返回报头"cf-cache-status:旁路“。
当我尝试对laravel公用文件夹(视图的同一个php文件)中的文件使用相同的规则时,它工作正常,并返回点击。
我认为解决方案是尝试从头响应中删除这个XSRF令牌,但是我要疯狂
浏览 3提问于2020-03-20得票数 0
2回答
我有一个网站,将显示敏感信息。我正在使用防伪令牌等,以防止XSRF在帖子中。然而,我担心有人能够从GET查看敏感信息。在.Net MVC2中保护通过GET发送的只读数据的推荐做法是什么?
浏览 0提问于2010-09-13得票数 1
回答已采纳
我在Startup.cs中设置了我的网络核心应用程序和防伪中间件:
services.AddAntiforgery(options => options.HeaderName = "X-XSRF-TOKEN");
在ConfigureServices方法中,以及
app.UseAntiForgeryMiddleware();
在配置方法中。
防伪中间件:
public class AntiForgeryMiddleware
{
private readonly IAntiforgery antiforgery;
浏览 2提问于2017-04-09得票数 5
回答已采纳
自从我把laravel更新到5.4之后,我经常得到:
TokenMismatchException in VerifyCsrfToken.php line 68
抛出异常。在深入研究和阅读了大量帖子和github问题之后,我发现我的令牌不匹配:)。关键是,我的laravel应用程序设置了令牌“XSRF”的加密版本,而不是普通的(XSRF)对应版本,助手csrf_token()将普通令牌释放出来,从而导致令牌不匹配。但是,当我得到XSRF-令牌(缺少X-)时,文档为什么会提到XSRF令牌呢?所以问题是:
缺少的“X”有什么意义吗?
如何将令牌的加密版本更改为普通版本?(不论问题3)
浏览 6提问于2017-07-20得票数 2
回答已采纳
1回答
这是我的python请求代码。
url = "https://test.com/"
r = requests.get(url, verify=False)
xsrf_token = r.cookies.get("XSRF-TOKEN")
headers = {
'X-XSRF-TOKEN':xsrf_token
}
data = {"account": "O_O@gmail.com", "password": "123123"}
r = requests.post(url
浏览 1提问于2019-12-27得票数 0
回答已采纳
为了保护应用程序免受CSRF攻击,我们从服务器端设置了一个名为XSRF-令牌的cookie。因此,从客户端代码中,我们可以设置cookie并发送到服务器,但是要验证服务器端的CSRF,我们需要在触发'POST‘服务调用时发送头。根据角度文档,$http通过读取cookie (请参考)自动设置标题XSRF令牌,但是Javascript代码无法读取cookie,尽管我们已经在同一域中部署了应用程序。服务器端cookie生成代码和服务部署详细信息如下,
final Cookie newCookie = new Cookie(
"XSRF-TOKEN",
csrfValue);
浏览 0提问于2018-04-11得票数 0
2回答
我有一个带有使用JWT的无状态身份验证模型的新SPA。我经常被要求将OAuth用于身份验证流程,比如要求我为每个请求发送“持有者令牌”,而不是简单的令牌头,但我确实认为OAuth比简单的基于JWT的身份验证复杂得多。主要的区别是什么,我应该让JWT身份验证的行为像OAuth一样吗?
我也使用JWT作为我的XSRF-TOKEN来阻止XSRF,但是我被要求将它们分开?我应该把它们分开吗?这里的任何帮助都将受到感谢,并可能为社区带来一套指导方针。
浏览 286提问于2016-10-07得票数 481
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
