我正在创建一个使用backbone和node.js的网站,我不认为默认情况下会有任何保护措施。在使用backbone和node.js时,有没有一种标准的方法来针对CSRF进行项目?谢谢
浏览 1提问于2012-04-30得票数 1
2回答
我有一个一般的网络问题,但它与安全方面有关。这是我的案例:我有一个被恶意软件感染的主机。该恶意软件创建一个http数据包来与其命令和控制服务器进行通信。在构造数据包时,IP层包含命令和控制服务器的正确IP地址。tcp层包含正确的端口号80。在发送数据包之前,恶意软件会修改http报头,将主机报头替换为“google.com”,而不是其服务器地址。然后,它将窃取的数据附加到数据包中并将其发送出去。我的理解是,数据包将被传送到正确的服务器,因为路由将基于IP进行。但是,我是否可以在此IP上托管一台and服务器,以接收所有带有报头主机google.com的数据包并正确解析它?根据我在互联网上的阅读,
浏览 0提问于2017-12-01得票数 0
2回答
关于通过XHR2 2/CORS访问的资源可以阻止请求的方式,除非它来自已被白化的域:
我知道CORS不是确保数据安全的可靠手段--我只是问一个好奇的问题。
浏览 2提问于2012-12-21得票数 1
2回答
如果我的Ajax请求设置了X-Requested-With标头,我可以跳过CSRF检查这个标头是否存在吗?我能确保它不会被伪造(通过用户会话)吗?
浏览 0提问于2010-03-02得票数 2
回答已采纳
2回答
我为我的网站创建了MongoDB和Node.js REST API。我正在从API访问我的数据库数据,并在我的网站上显示它。我在本地的localhost上做这些事情。这意味着,只有我的网站可以向该API发出请求,其他网站不能发出请求。如果其他网站试图访问它,它应该会显示一个错误。我如何才能做到这一点?有没有人能一步一步地给我解释一下我该怎么做?
浏览 2提问于2020-07-27得票数 2
如果我伪造了一个来自Postman的OPTIONS印前检查CORS请求,我无法从我的API中得到CORS头。
浏览 1提问于2016-01-22得票数 13
回答已采纳
1回答
2.2.Medium-跨站点请求伪造将标题设置为“”推理:POST /**/main.xht
浏览 47提问于2020-05-10得票数 4
回答已采纳
1回答
我有一个运行express的node.js服务器。我正在尝试为它编写几个测试,以便在将来其他人可能会使用它时确认标准行为。服务器专门处理请求头、referrer和origin字段。使用Jquery的ajax方法,我能够向服务器发送ajax请求。我发现我能够设置referrer字段。但是,我似乎不能设置原点。有没有办法在node.js中伪造原点?
浏览 0提问于2013-08-09得票数 3
Backbone.js处理将数据提交给服务器的方式,因此在有效负载中插入CSRF令牌并不是一种简单的方法。在这种情况下,我如何保护我的站点免受CSRF的影响?在这个答案:中,建议是验证x请求的标头是XMLHTTPRequest。这是否足以阻止CSRF的所有尝试?
在Django文档中,建议在每个AJAX请求中的另一个自定义头中添加CSRF令牌:。我理解如果攻击使用隐藏形式,我只需要确保请求来自XMLHTTPRequest,就可以安全了。但是有任何CSRF攻击技巧可以伪造头部吗?
浏览 8提问于2013-08-08得票数 9
回答已采纳
我正在考虑使用request python包来伪造HTTP请求,是否有特定的地理定位标头?或者任何我可以用来请求特定国家版本的网页。
浏览 0提问于2018-03-10得票数 0
回答已采纳
3回答
如果我在关闭JS的情况下提交表单,一切都会正常进行。如果我打开它,Salesforce会确认收到数据(在调试模式下),但它不会出现在我的队列中,也不会出现在SF中的任何地方。
浏览 2提问于2011-01-20得票数 3
回答已采纳
如何在IE中使用XDomainRequest伪造PUT或DELETE请求?或者我需要使用iframe传输?
我正在尝试访问为CORS设置的restful API。它可以在所有其他浏览器中工作,但我不知道如何在IE中伪造PUT/DELETE操作。使用XDomainRequest和,所以我不能添加HTTP_X_HTTP_METHOD_OVERRIDE头,它应该告诉Rails识别json数据中的_method=put参数。
浏览 7提问于2011-12-18得票数 0
回答已采纳
1回答
我正在学习如何使用sinon.js。我可以伪造正常的AJAX,但我需要请求一个图像,并且我没有得到xhr.response (它是未定义的)。如何使用sinon.js伪造图片的响应?arraybuffer';//this.response is undefinedxhr.send(null);
如何伪造此镜像请求
浏览 0提问于2013-06-25得票数 4
6回答
我设置了一些页面,以便它们只响应ajax请求。问题是,我如何设置它,以便如果有人试图通过浏览器窗口发送请求,即通过键入它们-它们不会运行,并且它们只在进行ajax调用时运行。这些页面是用php编写的
浏览 2提问于2010-07-11得票数 2
回答已采纳
我通常在开发过程中添加*,因为CORS允许原始头,并且想知道如果我使用csrf令牌来保护我的站点不受伪造请求的影响,我是否需要更改它。
浏览 3提问于2017-11-13得票数 3
1回答
然后,对于每个请求,web客户端向服务器发送与cookie和HTTP头相同的令牌以进行验证。这些都来自于这个博客。
但是,我认为从另一方面来说,黑客可以伪造cookie和HTTP头来发送假请求。
浏览 0提问于2018-09-19得票数 1
回答已采纳
我需要一种使用python3和mitmproxy以及任何其他python3库(如果有)的方法,通过拦截过滤后的请求来伪造(模拟)完整的响应(头和正文),并用假响应回复,甚至不需要向服务器发送真正的请求
浏览 32提问于2021-01-04得票数 1
回答已采纳
客户端只使用XMLHttpRequest提交表单,并使用报头(X-Header: [any value would be correct])来防止跨站点请求伪造攻击。其要求是发送带有自定义头的HTTP请求。
浏览 0提问于2015-04-05得票数 4
我需要在ajax请求中使用csrf令牌吗?
我认为有人欺骗我的用户执行从另一个站点到我的站点的恶意ajax请求,会因为源策略而失败,这是由浏览器处理的,对吗?在使用ajax时,我并不关心重复的请求,我只关心攻击。如果我不在ajax请求中使用csrf,我会有风险吗?
浏览 3提问于2011-01-30得票数 0
1回答
将标头添加到307重定向
、、、
除了位置之外,您不能添加/修改307标头,是真的吗?我试图在Node.js中做到这一点,似乎新添加的报头“X-亚特兰-令牌”:“没有检查”没有被客户端使用。'X-Atlassian-Token': 'no-check' res.end();
“实际上,通过Java对象,您可以设置请求属性,但不能设置头。我相信这是一个故意的限制,以防止伪造身份验证令牌和其他通过标头发送的信息。如果我找到解
浏览 2提问于2015-06-05得票数 4
回答已采纳
云服务器
ICP备案
对象存储
云直播
腾讯会议
腾讯云开发者
