跨站点请求伪造,也称为一键式攻击或会话骑行,缩写为CSRF(有时发音为sea-surf)或XSRF,是一种恶意利用网站,从而从用户传输未经授权的命令网站信任。与利用用户对特定站点的信任的跨站点脚本(XSS)不同,CSRF利用站点在用户浏览器中的信任。
CSRF 与 Spring Security 集成时,会话超时导致 Spring MVC 中的访问被拒绝
我在 Spring MVC 项目中将 CSRF 令牌与 Spring Security 集成。使用 CSRF 令牌一切正常,令牌将从客户端发送到服务器端。 我已经更改了退出方式
考虑一个带有“购物篮”按钮的在线商店。单击该按钮会显示一个弹出窗口,用户可以在其中更改要订购的商品数量(AJAX 请求)等。 这意味着我必须...
CSRF 因 Django 应用程序提供的多个域(非子域)而失败
我有一个 Django 应用程序,主要在 domain.com 下运行,但也在其他域下运行(主要用于测试)。我还有一个单独的子域,为用户提供 Web 应用程序客户端代码。
我发现很难确定检测重复表单提交的最佳实践。 我正在使用最新的 SpringBoot、Thymeleaf 和 Spring-Security 以及开箱即用的 CSRF 功能
多年来我一直在使用 AWS EC2 实例上托管的私有媒体维基 我认为某些扩展出了问题,特别是在数学渲染过程中停止了,所以我尝试重新加载......
Cakephp - 禁用 CSRF 以在 Android 应用程序中使用 api
这里有cakephp版本3.7.2。 Cakephp 在浏览器中将 Csrf 设置为 cookie,但我们希望从没有要设置 cookie 的移动应用程序 [Android] 调用 Api。 我在本地主机中禁用了 Csrf
大多数 CSRF 解决方案似乎坚持将 CSRF 令牌作为 POST 数据的一部分发送。 在我的情况下,发送的数据是 json,我不控制发送的内容(而且我不想开始我......
我读到,GET 请求不需要 CSRF,因为它们被认为是安全的。 然而,我能想到的一种情况是这样的攻击: 我读到,GET 请求不需要 CSRF,因为它们被认为是安全的。 但是我能想到的一种情况是这样的攻击: <img src="https://otherdomain.com/logout" /> 如果没有 CSRF,这会很糟糕。当然,可以要求注销路由来要求发布,但我经常看到它作为一个简单的 href 实现。 此外,为什么 GET 是安全的?他们仍然在响应中泄露数据...... 这是一种只写攻击。来自 CSRF 上的 OWASP 页面: CSRF 攻击的目标是导致服务器状态更改的功能,例如更改受害者的电子邮件地址或密码,或者购买某些东西。 强迫受害者检索数据对攻击者没有好处,因为攻击者没有收到响应,受害者却收到了。因此,CSRF 攻击针对的是状态更改请求。 只要 GET 请求不改变状态,它们对黑客来说就没有任何价值。 我认为您提供的注销示例可能会给用户带来不便,但对黑客没有实际危害,也没有实际好处。
如何配置 NGINX 以允许对 Spring Boot 应用程序进行 CSRF 保护
我正在尝试使用 NGINX 反向代理将我的 Spring Boot 应用程序与我的前端(即我的 Angular 7+ 应用程序)分开。 我的 Spring Boot 应用程序的版本是 2.0.3+.RELEASE 并且...
在 Spring Weblux 中禁用给定路径的身份验证和 csrf?
我想为除一个 url 之外的整个应用程序启用 oauth2。 我的配置: @EnableWebFluxSecurity 类安全配置{ @豆 有趣的安全WebFilterChain(http:
Symfony 4 - 如何在不构建表单的情况下添加 csrf 令牌?
我正在这里阅读教程 https://symfony.com/doc/current/form/csrf_protection.html 如何添加 csrf 令牌。它说要使用 表单结束() 在模板中。但这不起作用,给出错误: ...
ForbiddenError: invalid csrf token, express js.
我试着让csurf工作,但似乎发现了一些问题。目前的代码是这样的:index.ejs。
Google Re-Captcha 2可以阻止CSRF攻击吗?
跨站点请求伪造攻击会在受害者的会话上进行,以将恶意请求提交到受信任的站点。这里的备忘单将CAPTCHA描述为防止CSRF攻击的好方法。当我们...
我正在尝试防止CSRF(跨站点请求伪造)。为了防止CSRF,我创建了过滤器,该过滤器将过滤每个请求。在按预期实现javax.servlet.Filter之后,过滤器会执行其...
什么是生成csrf令牌和验证的最佳方法。根据我的能力,即使您在“ post”表单中有一个隐藏的表单域,黑客也可以使用ajax来简单地获取该表单,请采取...
Codeigniter CSRF问题:CSRF请求和响应令牌不匹配
我花了很多时间来寻找解决这个问题的方法,但是没有运气,所以我希望有人可以帮助我。我启用了CSRF保护,并将csrf_regenerate设置为true(我想...
在Laravel 5中,如何为特定路由禁用VerifycsrfToken中间件?
我正在使用Laravel 5开发应用程序。我的应用程序已连接VendHQ API,我打算通过其Webhook从VendHQ获取一些数据。根据他们在事件发生时的说明文件...
我在laravel 5中有一个上传表单,我想发送一个大于2M的文件,并且我更改了php.ini以获得最大上传大小和发布大小,但是它也确实起作用!!当启用我的csrf时,我得到csrf令牌...
我正在尝试对HTML登录表单实施安全的CSRF保护,我知道实现CSRF保护的最佳方法是在会话中存储随机csrf key,但我想将CSRF添加到我的登录和注册表...
错误:缺少CSRF令牌,hackathon-starter加上AngularJS
我正在将AngularJS整合到hackathon starter中。 这是我在这里用以下test.html和test.controller.js提到的 te...