在任何表单上都不会生成CSRF令牌,并且请求验证是基于加密的id的。
在这种情况下,CSRF攻击可能吗?如果是的话,如何运作呢?
浏览 0提问于2016-11-07得票数 2
1回答
我读了很多关于CSRF保护的文章,但是我怀疑我还不能澄清,甚至在堆栈溢出的情况下也是如此。因此,我使用烧瓶来构建一个web应用程序,并且有一个名为csrf_token的函数,您可以调用它生成一个令牌,并将它作为一个隐藏的输入(在本例中是登录表单)。但是,我在想,如果攻击者进入登录站点以获取他的csrf令牌,这是否会破坏站点上的csrf保护?因为这样他就可以将他的csrf令牌附加到ajax请求上,这基本上等于没有任何保护。
浏览 2提问于2019-07-16得票数 2
回答已采纳
1回答
假设我有一个web应用程序,在其身份验证方案中使用了JWT令牌和CSRF令牌。据我所知,它是这样运作的:
服务器还发送没有httpOnly设置的CSRF令牌,以便JavaScript code.可以读取它。当客户机提出任何未来的请求时,JWT cookie将自动发送,CSRF必须在请求头中设置。这应该可以防止CSRF攻击,因为CSRF cookie
浏览 0提问于2018-11-29得票数 1
2回答
如果支持,我们是否应该实现同步器令牌模式来防止CSRF攻击?https://www.owasp.org/index.php/Cross-Site_请求_伪造_(CSRF)_预防_作弊_Sheet#Synchronizer_令牌_模式如果我们只在支持设置( SameSite )的浏览器中使用SameSite设置(没有同步器令牌模式),那么CSRF攻击
浏览 0提问于2019-01-13得票数 2
回答已采纳
1回答
基本原理:我想保护一个令牌,它有一个很短的过期时间,以防它被破坏。我也不想强迫用户经常重新登录。攻击者需要在少于令牌过期时间的时间内请求新令牌。基本原理:保护令牌不受XSS攻击,如果令牌保存在localStorage/sessionStorage中,则会危及令牌。这是这文章中的建议。这种方法除了向CSRF攻击打开实现之外,还有什么问题吗?CSRF保护
将JWT令牌存储在cookie中将打开对CSRF攻击的实现。为了缓解这个问
浏览 0提问于2017-02-21得票数 16
2回答
Spring安全与CSRF攻击
、、、、
我正在开发一个应该非常安全的java web应用程序,所以我在SSL服务器上使用了支持CSRF的spring安全性和spring;我使用POST成功地提交了所有表单以及生成的CSRF令牌,但是有些页面有获取方法,如果任何攻击者从任何浏览器打开任何页面的源,他都可以在表单标记中看到生成的CSRF令牌,然后只要会话受到攻击,他就可以使用它将任何内容发布到我们的站点!我是否应该使用任何其他开源和spring安全性来覆盖其他攻击,如跨站点脚本,等等。?我应该强制所有页面使用POST来避免
浏览 7提问于2017-09-24得票数 0
回答已采纳
1回答
CSRF深度保护
、、、
我目前在我的php应用程序中添加了一个CSRF令牌保护机制。正如我所读到的,惟一的要求是每个用户都有一个惟一的令牌,这是我在php7中使用random_bytes生成的。我担心的是,如果攻击者使用用户的浏览器发送http请求,浏览器不会发送令牌的会话变量吗?(因为用户具有与令牌关联的会话the )。谢谢
浏览 1提问于2015-09-24得票数 0
1回答
会话固定描述为:
这似乎与CSRF所利用的相当接近。Session fixation是一个同义词还是一个来自CSRF的分支?
还想指出,我提供的OWASP链接中的关键术语几乎与CSRF中提到的术语相同。
浏览 2提问于2015-03-18得票数 6
回答已采纳
1回答
存储“记住我”曲奇和CSRF保护
、、、、
但是,"httpOnly“cookie容易受到CSRF攻击的攻击,因为它们是与请求一起自动发送的。
为了减轻CSRF攻击,建议使用同步令牌模式(让服务器生成csrf令牌并与客户端交叉校验)。我的问题是,如果有“记住我”的cookie,那么CSRF攻击(恶意JavaScript)是否有可能发出请求并随后从服务器获得csrf令牌?值得关注的是,如果攻击同时具有可以发送请求的标记,那么应用程序的
浏览 0提问于2016-05-30得票数 1
回答已采纳
1回答
在仅由HTTPS访问的web应用程序中使用反CSRF令牌真的有意义吗?如果是,那么如果没有反CSRF令牌,那么攻击这样一个web应用程序的可能方法是什么?
浏览 0提问于2012-01-10得票数 7
回答已采纳
我一直在阅读关于CSRF及其工作原理的文章,如果我理解正确的话,攻击者唯一能做的事情就是强迫用户执行他无意中的操作。HTTP-AUTH: #SessionId
在这种情况下,攻击
浏览 0提问于2015-11-10得票数 1
回答已采纳
3回答
到目前为止,据我所知,令牌的目的是防止攻击者伪造表单提交。
例如,如果一个网站有一个表单,该表单向您的购物车中输入了添加的项目,而攻击者可能会向您的购物车发送垃圾邮件,其中包含您不想要的项目。这是有道理的,因为购物车表单可能有多个有效的输入,攻击者所要做的就是知道网站正在销售的商品。由于用户名和密码非常独特,攻击者必须知道这两者才能使登录伪造生效(即使您没有设置令牌),如果攻击者已经知道这一点,他可以自己登录到网站上。更不用说,让用户自己登录的CSRF攻击无论如何都没有
浏览 1提问于2011-06-20得票数 186
我正在尝试在我的一个项目中使用CSRF令牌实现CSRF保护。我对此并不熟悉,在阅读有关在请求中向服务器发送CSRF令牌的文章时,我发现推荐将CSRF令牌作为HTTP POST发送,而不是GET。我的问题是:
如果HTTP URL在GET请求中暴露了CSRF令牌,并且潜在攻击者可以使用此CSRF令牌创建CSRF请求并使用Javascript进行攻击,那么当CSRF令牌作为隐藏字段存储在表单中时,如果我的站点有XSS漏洞
浏览 2提问于2016-09-04得票数 2
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。在我发现的一些示例代码中,基本上找到了这个算法。受害者访问应用程序:
前端(安全)双重提交cookie可以防止此攻击,因为攻击者还需要在HTTP报头中提供有效的CSRF</
浏览 3提问于2021-01-22得票数 6
2回答
跨站点请求伪造攻击利用受害者的会话向受信任的站点提交恶意请求。将CAPTCHA描述为一种防止CSRF攻击的好方法。
如我们所知,Google Re在防止机器人垃圾邮件方面是有效的。
浏览 2提问于2015-09-16得票数 7
回答已采纳
2回答
我在一个使用Angular的网站上使用基于会话的CSRF。发出HTTP调用以请求CSRF令牌是否安全?例如,如果我向一个名为/ CSRF /get的页面发送了一个具有有效用户会话的请求,并且它打印了一个原始令牌,那么这对于CSRF功能是否足够安全?
浏览 4提问于2018-09-11得票数 8
1回答
但是很少与CSRF令牌实现相混淆。1).来自url的CSRF令牌(如/getCSRF )。3)随每一次请求一起发送。
浏览 1提问于2018-01-31得票数 4
回答已采纳
视图通过django.middleware.csrf.CsrfViewMiddleware启用了CSRF保护。如果我没有传递cookie,但确实传递了HTTP_X_CSRFTOKEN,则它将失败。我正在查看django.middleware.csrf.CsrfViewMiddleware的代码,我看到在第161行中,它检查从cookie中获得它后是否有if csrf_token is None:这看起来不正确,只有在检查了所有可能找到csrf_token值的地方之后,才应该检查缺少的all值。
还有其他人
浏览 7提问于2014-07-16得票数 3
1回答
我使用令牌来保护不受CSRF攻击,但是为了使“后退”按钮仍然工作,如果设置了旧令牌,我就重用它们。这是否仍然提供CSRF保护,或者攻击者是否可以将"CSRFtokeneditcustomer“cookie设置为"hello”,并轻松绕过此保护?
if(!
浏览 0提问于2018-06-12得票数 2
回答已采纳
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
腾讯云开发者
