CSRF验证令牌:会话ID安全吗?
在云计算领域,CSRF(跨站请求伪造)验证令牌是一种用于保护Web应用程序的安全机制。虽然会话ID是一种常见的用于识别用户的方法,但它并不是一个安全的验证令牌。
会话ID是一种基于服务器端的认证机制,它将用户的身份信息存储在服务器端,并通过会话ID在客户端和服务器之间进行通信。然而,会话ID容易受到跨站请求伪造(CSRF)攻击,这是一种利用用户已经登录的Web应用程序的漏洞,在用户不知情的情况下执行非法操作。
相比之下,CSRF验证令牌是一种更安全的验证机制,它可以防止跨站请求伪造攻击。CSRF验证令牌是一种单向哈希函数,它将会话ID和一个随机生成的令牌组合在一起,然后通过加密算法生成一个哈希值。这个哈希值将作为一个验证令牌,与会话ID一起发送到客户端。当客户端提交表单时,它还会发送这个验证令牌,以证明请求是来自可信任的来源。
因此,CSRF验证令牌比会话ID更安全,因为它可以防止跨站请求伪造攻击。在腾讯云中,我们提供了一系列安全产品和服务,包括腾讯云Web应用防火墙、腾讯云安全中心、腾讯云访问管理等,可以帮助用户保护他们的Web应用程序免受攻击。
相关·内容
在django网站上,声明:
The CSRF protection is based on the following things:
1. A CSRF cookie that is set to a random value (a session independent nonce, as it is called), which other sites will not have access to.
2. ...
然后,它还声明可以通过javascript从cookie获得csrf令牌:
var csrftoken = $.cookie('csrftoken');
浏览 6提问于2013-07-30得票数 5
回答已采纳
在使用时,我注意到如果我呈现以前生成并使用了 csrf令牌的,它仍然被接受为有效的令牌(在同一会话中)。
是这样呢,还是我用错了?我本来希望一个已使用的csrf令牌失效(因此它只能在每个会话id中使用一次)。
我的代码如下所示:
var express = require('express');
var bodyParser = require('body-parser');
var csurf = require('csurf');
app.use(csurf());
app.use(function (req, res, next) {
浏览 1提问于2016-12-13得票数 0
2回答
confirm.php
confirm_save.php
<?php
session_start();
$token= $_SESSION['delete_customer_token'];
unset($_SESSION['delete_customer_token']);
session_write_close();
if ($_POST['token']==$token) {
// delete the record
} else {
// log potential CSRF attack.
}
?>
浏览 4提问于2011-08-03得票数 5
回答已采纳
1回答
我正在尝试学习如何使用CSRF令牌保护我的表单,从我所读到的内容来看,我认为我所做的是安全的,但我对它的了解还不够,无法真正验证该声明。
到目前为止,我所做的是以下步骤:
使用openssl_random_pseudo_bytes();生成一个密钥,然后将该密钥存储在会话中。此键是在第一次创建会话时生成的。
在每个页面上,使用密钥加密会话ID以生成CSRF令牌,使用:
base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,md5($key),session_id(),MCRYPT_MODE_CBC,md5(md5($key);
将CSRF
浏览 13提问于2014-03-17得票数 2
回答已采纳
我有一个端点,它应该像API一样工作:
/reset/<ID>
这将通过ajax/angular从单独的客户端调用(CORS问题已经解决)。
现在,如果我只是在urls.py中发布端点,我会得到一个错误:
403 Forbidden
CSRF verification failed. Request aborted.
原因对我来说很清楚。
所以我调查并找到了这个@csrf_exempt装饰器。有了它,它works...but它可以这样做吗?请求不遵循请求-响应周期,客户端可能在任何时候发送这个重置-所以我不知道如何发送X-CSRF-Token报头到client...so,也许最后这
浏览 0提问于2015-10-20得票数 1
2回答
我在一个使用Angular的网站上使用基于会话的CSRF。发出HTTP调用以请求CSRF令牌是否安全?
例如,如果我向一个名为/ CSRF /get的页面发送了一个具有有效用户会话的请求,并且它打印了一个原始令牌,那么这对于CSRF功能是否足够安全?如果没有,我可以做些什么来使它更安全,同时保持JSON检索功能?
它将是第一个api调用,在其他调用之前,我将把它保存在本地存储上,以便在每次http调用时使用它。
浏览 4提问于2018-09-11得票数 8
2回答
文档中有一个解释,但我还有一些额外的问题。
为什么需要专用的CSRF cookie?
如果Django不使用特定于事务的随机数,为什么不要求在POST请求主体中嵌入会话ID呢?
为什么CSRF随机数要绑定到会话ID?Django会这样做吗?
似乎暗示CSRF现时值需要绑定到会话ID (例如,CSRF现时值=会话ID的键控散列)。为什么会这样呢?Django是否将其CSRF nonce绑定到会话ID?
为什么Django使用独立于会话的随机数而不是特定于事务的随机数?
是否出于性能方面的考虑?直观地说,特定于事务的随机数本质上似乎更安全。
浏览 0提问于2011-05-20得票数 7
回答已采纳
我在UAT - requireSSL="true"中的web.config代码行中发现了不安全服务器(没有SSL)中的web.config属性的问题。
对于CSRF (跨站点请求伪造)修复,我们使用:
var requestCookie = Request.Cookies[AntiXsrfTokenKey];
我们不能从不安全的服务器上读取安全cookie。因此,对于不安全的服务器,requireSSL属性在web.config中应该是false。
如果我们使requireSSL="false"的CSRF修复工作良好,但所有cookie都会变得不安全,这会产生其
浏览 1提问于2014-10-07得票数 2
我有一个情况,我将不得不从网站下载文件。它是一个安全站点(https),它还需要客户端证书身份验证。
我有一个客户证书并设法进入。登录后,当我尝试下载该文件时,我无法下载该文件。反过来,该文件包含带有csrftoken的html。如何获得这个令牌标识?为了下载文件,我需要这个令牌。有人能分享这是什么类型的认证吗?我如何使用c#获得csrf令牌id。
谢谢
浏览 2提问于2016-02-18得票数 1
4回答
我对CSRF预防有一个疑问。很多网站说,CSRF可以通过使用每个会话随机生成的“令牌”来防止。
现在我的疑问是,假设我有一个如下的函数:
$.post("abcd.php",{'fbuid':userid,'code':'<?php echo md5($_SESSION['randcode']); ?>'}
现在这个md5散列显然对任何黑客都是可见的,通过源code.He可以简单地打开这个页面,生成一个令牌,并保持页面打开,这样会话就不会被破坏,并使用另一个选项卡或其他任何东西来开始黑客攻击,
不是吗
浏览 2提问于2011-08-24得票数 1
回答已采纳
1回答
我试图找出我建议的解决方案是否对XSS和CSRF保护都有效,
我希望将JWT存储在httpOnly & secure cookie中,而不是在本地存储中,当用户成功登录时,他将在响应有效负载中获得一个CSRF令牌(随机字符串),与声明到JWT有效负载的令牌相同,用户端令牌将存储在localStorage中。
当用户调用经过身份验证的rest端点时,他将CSRF令牌附加为报头(“csrf- token”:"randomToken“报头),因为我们处于无状态状态,所有请求都将首先验证JWT签名,在验证之后,代码将检查JWT有效负载中的令牌是否等于请求头中的令牌。
由于我没有找到任何
浏览 0提问于2021-12-24得票数 1
回答已采纳
3回答
我正在我的应用程序中实现JWT,我希望使它们尽可能安全。我将列出我所计划的一切,我将非常感谢关于这个实现的安全性的任何建议。这是我的网站,我有充分的访问它的每一个方面,前端和后端。
这将是一个SPA,使用API访问后端.我使用JWT来保存每次命中API时的DB调用。
JWTs
JWT存储在access_token cookie中。它们首先进行签名,然后使用何塞-杰沃特加密。签名算法为HS256,加密为DIR。它们包括用户ID、过期exp声明和其他几个自定义声明。JWT在30分钟内到期,JWT cookie在7天内到期。
(简写):
存储在cookie中的JWT
JWT包括用户ID
JWT签名后
浏览 0提问于2016-08-12得票数 14
2回答
我正在测试NodeJS express应用程序,它使用csurf包和express-session包。
问题
在测试时,我必须提出应该在其中包含csrf token的请求,但是由于我并不真正理解csurf中间件是如何在传入的请求中验证csrf tokens的,所以在测试应用程序时造成了很多问题。
问题
有人能简单地解释一下csurf中间件在使用csurf中间件和express-session包时是如何验证express-session的吗?在请求中接收令牌时,它是如何验证令牌的?是否应该在标头或请求体中发送令牌?新令牌是每次呈现新页面时创建的,还是每个用户会话都有一个令牌?
我还想知道在将cs
浏览 1提问于2019-09-05得票数 7
回答已采纳
1回答
我有一个涉及两个微服务的体系结构。工作流程如下:
localhost:3000 用户访问URL (localhost:8090)并通过microservice 1在数据库中注册,注册后用户被重定向到运行在上的服务2。
现在,鉴于我对CSRF和JWT令牌的了解有限,我目前使用以下代码进行重定向
res.setCookie('jwt_signed', token, ...);
res.redirect('localhost:3000');
然后在服务2中,我对签名的令牌进行解码和验证,以检查传递的数据的完整性。此外,我还看到在cookie中传递的CSRF令牌。
现在
浏览 2提问于2021-01-26得票数 0
回答已采纳
我一直在研究漏洞以及如何在.NET应用程序中修复它。
根据我的研究,这里是我需要做的伪算法:
在请求cookie中检查CSRF令牌的请求,如果它不在那里,在服务器上创建一个。
创建令牌后,将令牌添加到响应cookie,以便将其发送回客户端。客户端为所有未来的请求cookie发送此CSRF令牌。
当服务器收到请求并看到CSRF cookie时,服务器将对其存储的CSRF令牌值进行验证。
当它匹配时,就像往常一样,如果值不匹配,那么停止请求。
我的问题在第3步,我正在使用ASP .NET web表单;我可以将这个CSRF令牌存储在任何一个会话或一个ViewState中。
我
浏览 4提问于2020-03-30得票数 0
回答已采纳
3回答
如果令牌在页面源中可见(即隐藏的输入字段),这不会违背其目的吗?令牌可以直接从页面源抓取。也许我想得太多了,但CSRF令牌不应该只在成功登录时生成吗?
浏览 1提问于2020-12-02得票数 2
4回答
我和我的朋友有一杯啤酒。
维基百科:
需要所有表单提交的特定于用户的秘密令牌和副作用URL可以防止CSRF;攻击者的站点无法在提交中使用正确的令牌。
atacker可以间接使用浏览器cookie,但他不能直接使用它们!这就是为什么他不能使用document.write()将cookie放到链接中
让我们看看注销链接是如何生成的。这条路安全吗?这个请求能被伪造吗?
function logout(){
echo '<a href="?action=logout&sid='.htmlspecialchars($_COOKIE['sid
浏览 1提问于2011-02-18得票数 8
回答已采纳
1回答
Java安全性
、、、、
我在Java 7后端上使用AngularJS和REST。该项目部署在Wildfly应用服务器上,我有一些问题需要重新评估安全性:
为了加密/解密数据,我正在使用CryptoJS在服务器端( Java )对数据进行加密和解密,但显然,我们必须透明地发送密码,密码和salt才是加密的。我的问题是为什么密码是明文?它应该是秘密的,然后加密,不是吗?
对于REST,Java 7、HTTP安全头(Basic)使用的标准是什么?Json访问令牌?以及它的真正工作原理,在cookie上存储用户会话/令牌的位置?我只想知道怎么用角来做。
也许我可以使用经典的JAAS进行基于表单的身份验证,然后在服
浏览 1提问于2015-06-16得票数 6
1回答
我有一个项目分在后端和前端,后端(API )是在Laravel 5中构建的,而前端是在AngularJS中构建的。这两个项目都是独立的,它们应该托管在不同的服务器上。
在第一个请求中,我使用以下代码从Laravel获得CSRF令牌:
var xhReq = new XMLHttpRequest();
xhReq.open("GET", "http://laravel.local/api/token", false);
xhReq.send(null);
angular.module('mytodoApp').constant('CSRF_
浏览 6提问于2015-04-28得票数 3
1回答
我正在尝试制作一个webapp,它将运行在一个HTML页面上,允许用户通过JavaScript和ajax与服务器进行交互。我希望通过在每个请求中包含一个csrf令牌,使我的请求能够安全地抵御csrf攻击。
因为我的webapp只在一个页面上运行,所以我不能在视图中使用${_csrf.token} (或类似的东西)语法,因为视图将是一个json对象。相反,我希望有一个url,如"/security/csrf“,它返回与用户会话相关的令牌。(是的,这不完全是一种restful服务。)
有什么方法可以让我生成一个csrf令牌,让Security在验证登录时能够访问吗?另外,以这种方式使用cs
浏览 2提问于2015-04-18得票数 5
回答已采纳
我有一个与REST交互的角形web应用程序。请求通过JWT Bearer令牌进行身份验证。现在我想添加对Windows-身份验证的支持。
我目前的计划是在REST中添加一个后端点/token,它接受并返回一个JWT。然后在JavaScript中使用此JWT作为Bearer令牌来验证XHR到REST-API的身份。
乍一看,这应该会阻止CSRF,因为它需要两个POST请求来修改应用程序的状态。我发现的CSRF <form>-based示例只提交了一个POST请求,攻击者看不到响应。
我遗漏了什么吗?
这场景类似,只不过它使用的是cookie而不是Windows-身份验证。
浏览 0提问于2020-06-08得票数 0
回答已采纳
3回答
据我所知,执行CSRF保护的方法有两种:
1)每个会话的CSRF令牌-每个会话生成一次令牌。这是最简单的方法;
2)每个请求的CSRF令牌--每个请求都生成新的令牌,而旧的令牌变得无效。这是更安全的,但当在浏览器中选项卡并单击“后退”按钮时,当应用程序可能会中断.。
几天前,我开始分析Node.js连接框架如何实现CSRF保护并注意到它使用了第三种方法:
每个请求都会生成新的CSRF令牌,但旧的不会变成invalid__。因此,用户同时有多个有效的CSRF令牌。
我的问题是:多个有效的CSRF令牌的优点是什么?
非常感谢。
我的英语不是很强,所以请尽量简单地解释。再次感谢你
编辑(修改我的问题
浏览 0提问于2014-02-09得票数 5
回答已采纳
如文档所示的,使用asp.net生成csrf令牌也会阻止浏览器缓存响应。
为该请求生成一个AntiforgeryTokenSet,并将cookie令牌存储在响应中。此操作还将“缓存控制”和"Pragma“头部设置为”无缓存“,将”X帧选项“标头设置为"SAMEORIGIN”。
我最初假设这个决定是为了防止用户使用浏览器"back“按钮提交”陈旧“请求令牌。后来我注意到这可能不是原因,因为:
asp.net为整个会话保留相同的cookie令牌。
只要cookie令牌不改变,asp.net允许多次提交相同的请求令牌。
那么,根据我目前的理解,使用浏览
浏览 1提问于2021-08-16得票数 0
回答已采纳
1回答
我有:
叶片
<form class="form-horizontal was-validated" method="POST" action="{{ route('account.applications.index')}}">
{{ csrf_field() }}
{{-- yadda yadda yadda --}}
<div class="form-group row">
<label class="col-sm-2 col-form-label&#
浏览 3提问于2018-07-19得票数 0
1回答
通过AJAX获取CSRF令牌
、、、、
我计划构建一个具有解耦的前端和后端的应用程序(只使用ajax请求)。我不允许跨站点的ajax请求。我可以使用ajax调用生成一个csrf令牌吗?通过添加一个像/csrf这样的API返回类似于:{csrf:' token '}下面的站点说我绝对不能这样做:
确保不能用AJAX访问CSRF令牌!不要仅仅为了获取一个令牌而创建一个/csrf路由,尤其是不支持该路由上的CORS!
有什么特别的原因吗?我理解CORS背后的原因--即禁用,但是通过ajax提供csrf令牌是否存在固有的安全风险?
浏览 0提问于2015-11-06得票数 2
5回答
我正在编写一个Django CSRF来支持iOS应用程序,并且每当我编写处理POST请求的方法时,我都会遇到Django的RESTful保护。
我的理解是,由iOS管理的cookies不被应用程序共享,这意味着我的会话cookies是安全的,任何其他应用程序都不能使用它们。这是真的吗?如果是这样,我是否可以将我的所有API函数都标记为CSRF-exempt?
浏览 0提问于2012-05-25得票数 66
回答已采纳
2回答
我们使用的web应用程序框架支持处理跨站点请求伪造。当用浏览器将数据发布到我们的when服务器时,这是很好的。
目前,我们正在开发一个API,其中上载的XML文件由同一个应用程序框架处理。我们的API在上传的XML文件中需要一个唯一的令牌来进行身份验证。由于CSRF检测在默认情况下是启用的,而且XML文件不包含CSRF令牌,因此我们目前无法通过此API上载任何数据。
然而,我们可以很容易地禁用CSRF检测,但这是否安全?
一个post 声明--相当大胆--如下所示。
It is safe to remove csrf for API calls as the particular vulner
浏览 5提问于2013-05-01得票数 4
对于正在积极开发的软件,我们使用Spring (带有Security)和Keycloak适配器。
目标是:
要求对所有端点进行有效的身份验证,但使用@Public注释的端点除外(请参阅代码片段)(这是可行的)
身份验证必须通过OAuth -客户端直接从Keycloak和Security + Keycloak适配器获得令牌,并确保其有效
还可以选择地支持Basic (可以将Keycloak适配器配置为执行登录并使其看起来像代码其余部分的常规令牌)(这同样有效)
目前一切正常,但我在理解一些细节时遇到了一些问题:
KeycloakWebSecurityConfigurerA
浏览 0提问于2019-07-11得票数 6
1回答
当用户从基于会话的站点注销时,是否应该刷新其相应的反csrf令牌(存储在会话中)?
如果令牌应该刷新,那么为什么要特别刷新?哪些可能的漏洞会导致抗CSRF令牌不刷新?
浏览 0提问于2019-12-18得票数 0
1回答
我有一个web应用程序,当用户请求一个页面时,会生成一个CSRF令牌并将其注入到隐藏的input字段中的jsp页面中。
然后,对于自定义标头中的每个AJAX调用,都会向服务器发送相同的令牌,而会话状态令牌则包含在cookie (secure + httpOnly)中。
现在,由于CSRF令牌在webapp中是新的东西,如果在更新之后用户已经登录,并且他发送了一个请求,那么Filter将确定他实际上已经登录了(因为cookie中的会话状态令牌),但是一个有效的CSRF令牌并不包含在自定义的标头中,所以定义的行为就是注销他。
我可以通过遵循这个OWASP示例来处理这个问题。如果没有CSRF令牌,我
浏览 0提问于2018-01-24得票数 1
回答已采纳
1回答
我是新来的web服务器开发。我正在开发一个NodeJS web服务器,它同时服务于web (AngularJS/ReactJS)和本地移动应用程序(Android)。在我的项目中有一个特定于用户的特性。
我很困惑,花了几个小时寻找与csrf和身份验证相关的安全问题。
我的问题是
1)在 web和移动应用程序中,应该使用哪种方法同时解决csrf和身份验证问题?-是JWT (JSON令牌)还是CSURF中间件;
请详细解释。
如果有其他的方法,请说明。
提前谢谢。
浏览 0提问于2019-03-19得票数 0
Facebook的服务器端登录过程提到了。它的作用就像一个CSRF令牌,在这个令牌中,Facebook将返回登录-回调页面,供我们的服务器验证。
不过,我不知道为何要这样做。如果我们确实收到虚假的登录请求,我们仍然需要使用登录请求的access_token从Facebook获取?code=。一个虚假的请求将没有正确的code,因此不能正常工作。
此外,用户可以通过Facebook App的链接访问我们的服务器。Facebook会自动在链接上添加一个?code= param。如果我们要使用这个推荐提供的code,我们无论如何都没有state param来验证,而Facebook似乎也不在乎它。
浏览 2提问于2012-10-17得票数 2
回答已采纳
在隐藏的表单输入和cookie中放置会话id的优缺点是什么?
将CSRF标记放在httpOnly cookie中的隐藏表单输入字段和会话id中是正确的吗?哪个更安全?
浏览 0提问于2015-05-03得票数 2
回答已采纳
我用默认设置设置了DRF。我的ajax客户端可以很好地处理会话身份验证。我希望另一个远程服务器使用与javascript客户机相同的API。
我的登录代码很简单:
class Login(APIView):
def post(self, request, *args, **kwargs):
user = authenticate(username=username, password=password)
if user is None:
return Response(status=status.HTTP_401_UNAUTH
浏览 0提问于2019-01-13得票数 3
回答已采纳
我刚刚开始使用Django Rest框架,我对CSRF令牌在请求中的使用有点困惑。例如,在下面的请求中使用标准Django视图需要一个CSRF令牌:
fetch("http://127.0.0.1:8000/api/add_item/", {
method: "POST",
headers: {
"Content-Type": "application/json"
// "X-CSRFToken": Cookies.get("csrftoken")
浏览 4提问于2022-08-18得票数 0
回答已采纳
..。我应该尝试一下吗?
我正在使用Symfony 2(刚刚从2.3升级到2.5),根据我的经验,该框架倾向于生成每个表单的CSRF令牌。如果您每页有一个表单,这是很好的,但是通常情况下,您希望在一个页面上有多个表单,隐藏起来,在某种用户交互之后出现一个表单。
在Java中,使用Spring,CSRF令牌似乎与会话相关联(并作为请求的属性提供)。
我的两个用例是: (1)使用JavaScript驱动的模板(例如Handlebars)支持同一页面上的多个表单(相同类型);(2)在同一页面上具有多个表单(不同类型),也由JavaScript模板驱动。
我的问题有三个:
是否有任何方法可以实现每
浏览 1提问于2014-03-01得票数 3
回答已采纳
为什么生成的CSRF保护令牌不像建议的那样通过会话保存和使用?目前在CI2中,CSRF保护机制(在安全类中)是这样的:
1.在_csrf_set_hash()函数中为CSRF标记生成唯一值:
$this->csrf_hash = md5(uniqid(rand(), TRUE));
2.将该标记插入表单隐藏字段(使用form_open助手)
3.用户提交表单,服务器通过POST获取令牌。CI在输入类的"_sanitize_globals()“函数中执行令牌验证:
$this->security->csrf_verify();
4.安全类的"csrf_verif
浏览 0提问于2012-01-09得票数 4
回答已采纳
1回答
我正在创建SPA应用程序使用角。这将服务于我的两个目的,中间层移动以及网站。
现在试图保护我的应用程序从XSS,CSRF,也需要安全的认证机制。我的服务将是Resful无状态服务。
这就是我认为对我有帮助的流程。
客户端应用程序发送用户ID,密码到服务器。
服务器验证请求并生成令牌,该令牌将存储在db中。
此标记= userId +随机数+ TimeStamp
令牌将发送回客户端应用程序。
客户端应用程序会将其存储在本地存储器或cookie中。
对于每个后续请求,我将使用db中的一个存储来验证令牌。
问题领域
令牌应该存放在哪里?饼干还是本地仓库?
在服务器上,令牌需要存储在某个地方。如果存储
浏览 0提问于2014-07-07得票数 1
回答已采纳
现在,我使用arduino以json格式向rails发送数据。但是如何获取authenticity_token并将其发送到rails呢?应该写在哪里?在json还是http报头中?格式应该是什么?
如果我加上
protect_from_forgery :exception => :create
在控制器中,它工作fine.But,我不希望禁用CSRF保护。这是我的arduino代码:
client.println("POST /players.json HTTP/1.1");
client.println("Host: 192.168.1.3:30
浏览 2提问于2016-08-21得票数 0
回答已采纳
我对Laravel CSRF有意见。
我在native会话驱动程序中测试我的代码,一切正常。但是,当我将会话驱动程序更改为redis时,会发生令牌不匹配错误。
我还试图清除缓存。但不起作用。
这是我的表格
{{ Form::open(array( 'route' => 'login' )) }}
{{ Form::text('email') }}
{{ Form::password('password') }}
{{ Form::submit('Login') }}
{{ Fo
浏览 2提问于2014-03-03得票数 0
回答已采纳
我对此感到困惑。两者的行为和属性似乎是相同的:两者都是生成服务器端的,应该是加密安全的,其生存期不得超过会话持续时间。如果所有这些要求都得到了满足,那么除了防御深度和历史原因之外,反CSRF令牌还能实现什么会话ID呢?
浏览 0提问于2022-12-16得票数 2
回答已采纳
1回答
当我将cookie设置为安全时,节点的csrf无法工作,这让我感到困惑。
//Load Cooike Parser
app.use(cookieParser(secret));
//Load Session Store
app.use(require('express-session')({
secret:secret,
cookie:{
maxAge: 1000 * 60 * 60 * 24, // 1 day,
secure: true,
httpOnly: true
},
store: ses
浏览 4提问于2015-12-22得票数 3
回答已采纳
我看到了几个CSRF令牌的实现:
第一个使用随机生成的CSRF令牌,该令牌使用加密强随机生成器来生成令牌。
我发现的第二个实现使用HMAC,它用存储在服务器端配置中的秘密密钥加密会话id。
我看到的第三个实现使用了两者的组合,存储在服务器端配置中的一个密钥用于HMAC一个随机生成的值。
第二种方法不要求将状态存储在服务器端(在集群情况下,这是理想的)。
我想知道第一个和第三个实现之间的好处是什么。
浏览 0提问于2014-02-25得票数 10
回答已采纳
1回答
我刚刚在CSRF上看了的一集。
在其中,他们说,对CSRF最好的预防是从一些用户唯一的数据(例如,散列会话ID)创建一个令牌,然后将其与您的请求一起发布。
生成一个难以猜测的值(例如GUID)并将其存储为会话变量,然后将其作为隐藏字段放入页面中,会不会不太安全?
每次加载页面时,值都会发生变化,但POSTed数据的测试将在此之前进行。
在我看来,这是同样安全的。我说错了吗?
浏览 0提问于2010-02-24得票数 0
回答已采纳
1回答
当使用spring安全性时,我们可以使用CSRF令牌。我们可以在spring安全xml和jsp中使用
> (<sec:csrfInput /> or <input type=”hidden”
> name=”${_csrf.parameterName}” value=”${_csrf.token}”/>).
但是如何在Java区域中获得csrf令牌名称和值呢?
我必须从我的web应用程序的服务层发送邮件给用户。并且csrf令牌必须存在于邮件内容中。
String html = new String( "<div
浏览 4提问于2016-08-31得票数 1
回答已采纳
1回答
引用:
自从CSRF成为“大公司”以来,网络已经发生了很大的变化,而用于CSRF攻击的策略已经过时了。
我个人不保护CSRF,主要是因为我没有使用明显不安全的身份验证方法。
他说得通吗?
请给我一些论据,如果我是正确的,为什么这家伙是(顽固?)或者在我试图表达观点的时候没有清晰地思考,但实际上我并不是想表达它.
浏览 1提问于2012-05-17得票数 0
回答已采纳
1回答
可能重复:
我使用JQuery AJAX发送了一个DELETE HTTP请求。URL (/myitems/1234)不同于注销URL (/ user /sign),但是在请求之后,我发现用户会话被销毁了。
我使用的是设计认证宝石。
这是日志:
Started DELETE "/myitems/2538" for 127.0.0.1 at 2012-06-26 19:09:49 +0400
Processing by MyItemsController#destroy as */*
Parameters: {"id"=>"2538
浏览 4提问于2012-06-26得票数 3
回答已采纳
我有一个单页应用程序,它基本上是我的API的使用者,它使用Authorization头进行身份验证。现在,由于我做服务器端呈现,我需要对初始请求进行身份验证,这意味着我需要使用cookie来存储auth令牌。
据我所知,CSRF在一个典型的网站上是这样工作的:
找到一个执行有害操作的端点,比如使用cookie进行身份验证的/delete-account。
在example.com中,放置一个<img href="http://mywebsite.com/delete-account"> (或任何用于POST请求的内容)
然而,在我看来,CSRF攻击不可能发生在SPA
浏览 0提问于2018-01-09得票数 5
回答已采纳
我正在构建一个Next.js应用程序,在其中一个页面上,我需要调用一个/api路由。
调用此API路由执行状态更改操作,因此必须确保调用不是来自试图模拟我的用户的攻击者。
以以下为例:
fetch('/api/grantPermissions', {
headers: ...,
method: 'POST',
body: JSON.stringify({resource: 'someresourceid', permission: 'somepermission'})
})
我注意到保护Next.js API路由不受C
浏览 35提问于2022-08-10得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
