Cross Site Request Forgery是一种利用网站对用户浏览器的信任的恶意攻击。
我想模拟的形式 {% csrf_token %} 我想模拟的形式 <form action="{% url 'reset' %}" name="form1" id="form1" method="POST"> {% csrf_token %} <div class="py-1"> <input class="focus:outline-none w-full p-1 border border-gray-300 rounded-md placeholder:font-light placeholder:text-gray-500 placeholder:text-sm pl-2" type="text" name="username" id="" placeholder="username" required> </div> <div class="flex justify-between w-full py-4"> <div class="mr-24"> <span class="text-md text-gray-400"> Dont'have an account? </span> <a class="font-bold text-black"><a href="/signup" class="font-bold">Sign up </a></span> </div> <span class="font-bold text-md"><a href="{% url 'signin' %}"class="font-bold">sign in </a></span> </div> <button class="w-full bg-black text-white p-2 rounded-lg mb-6 hover:bg-blue-400 hover:text-white " type="submit" > submit </button> </form> 注意到我在发送之前在 js 中向 post 请求添加了一个 form_name 属性 document.getElementById('form1').addEventListener('submit', function(event) { event.preventDefault(); // Prevent default form submission var form = this; var formData = new FormData(form); formData.append('form_name', 'form1'); fetch(form.action, { method: 'POST', body: formData, headers: { 'X-CSRFToken': '{{ csrf_token }}' } }) .then(response => response.json()) .then(data => { if (data.show_form2) { showForm2(data); } if (data.messages) { const messages = JSON.parse(data.messages); showMessages(messages); } }).catch(error => console.error('Error:', error)); }); 以及模拟post请求的视图部分 data = {'username': request.user.username, 'form_name': "form1"} csrf_token = get_token(request) response = requests.post('http://127.0.0.1:8000/reset', data=data, headers={'X-CSRFToken': csrf_token}) 但我收到此错误Forbidden(未设置 CSRF cookie。):/reset 请帮忙 帮助我克服这个问题的方法称为请求会话,它的工作原理如下: session = requests.Session() resp = session.get('http://127.0.0.1:8000/reset') # Get form to get valid csrf token csrf_token = resp.cookies['csrftoken'] resp2 = session.post('http://127.0.0.1:8000/reset', data=data, headers={'X-CSRFToken': csrf_token})
如何在.net API和SPA解决方案中使用cookie作为身份验证来进行Anti-CSRF?
我有一个 .NET API 和 React SPA 托管在同一域(api.domain.com 和 app.domain.com)上。 我使用 same-site=strict、secure 和 httponly cookie 来进行从 SPA 到 API 的通信。我...
我读到,GET 请求不需要 CSRF,因为它们被认为是安全的。 然而,我能想到的一种情况是这样的攻击: 我读到,GET 请求不需要 CSRF,因为它们被认为是安全的。 但是我能想到的一种情况是这样的攻击: <img src="https://otherdomain.com/logout" /> 如果没有 CSRF,这会很糟糕。当然,可以要求注销路由来要求发布,但我经常看到它作为一个简单的 href 实现。 此外,为什么 GET 是安全的?他们仍然在响应中泄露数据...... 这是一种只写攻击。来自 CSRF 上的 OWASP 页面: CSRF 攻击的目标是导致服务器状态更改的功能,例如更改受害者的电子邮件地址或密码,或者购买某些东西。 强迫受害者检索数据对攻击者没有好处,因为攻击者没有收到响应,受害者却收到了。因此,CSRF 攻击针对的是状态更改请求。 只要 GET 请求不改变状态,它们对黑客来说就没有任何价值。 我认为您提供的注销示例可能会给用户带来不便,但对黑客没有实际危害,也没有实际好处。
Sails.js CSRF 令牌始终针对 POST 请求而更改
我已为 sails.js 应用程序启用了 csrf 保护,并且正在调用路由来获取 POST 请求的令牌。但是,我不断收到发布请求的不匹配错误。 这是我的代码...
我在 /login 端点上调用服务器,它返回一个会话 cookie 以及返回值中的 CSRF 令牌(无法将其存储为 cookie,因为它不安全)。我可以在哪里存放
使用此代码获取服务器错误日志..并且此代码只给了我 81 个朋友,但我的朋友列表中有 87 个朋友.. 给我一个建议.. 使用此代码获取服务器错误日志..并且此代码只给了我 81 个朋友,但我的朋友列表中有 87 个朋友.. 给我一个建议.. <?php require_once('facebook-php-sdk/src/facebook.php'); $config = array('appId' => 'Your app id','secret' => 'Your app secret',); $facebook = new Facebook($config); $user_id = $facebook->getUser(); if($user_id) { // We have a user ID, so probably a logged in user. // If not, we'll get an exception, which we handle below. try { $access_token = $facebook->getAccessToken(); $usrFrnd_data = array(); $offset = 0; $limit = 5000; //fetch events from Facebook API $user = null; $c = curl_init(); curl_setopt($c, CURLOPT_URL, "https://graph.facebook.com/me/friends/?limit=$limit&offset=$offset&access_token=".$access_token); curl_setopt($c, CURLOPT_RETURNTRANSFER, 1); curl_setopt($c, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($c, CURLOPT_SSL_VERIFYHOST, false); $user = json_decode(curl_exec($c)); curl_close($c); $tmpVar = object2Array($user); $usrFrnd_data = array_merge($usrFrnd_data, $tmpVar["data"]); //loop through pages to return all results while(array_key_exists("next", $tmpVar["paging"])) { $offset += $limit; $c = curl_init(); curl_setopt($c, CURLOPT_URL, "https://graph.facebook.com/me/friends/?limit=$limit&offset=$offset&access_token=".$access_token); curl_setopt($c, CURLOPT_RETURNTRANSFER, 1); curl_setopt($c, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($c, CURLOPT_SSL_VERIFYHOST, false); $user = json_decode(curl_exec($c)); curl_close($c); $tmpVar = object2Array($user); // make sure we do not merge with an empty array if (count($tmpVar["data"]) > 0){ $usrFrnd_data = array_merge($usrFrnd_data, $tmpVar["data"]); } else { // if the user entry is empty, we have reached the end, exit the while loop break; } } echo "<pre>"; print_r($usrFrnd_data); }catch(FacebookApiException $e) { // If the user is logged out, you can have a // user ID even though the access token is invalid. // In this case, we'll get an exception, so we'll // just ask the user to login again here. $login_url = $facebook->getLoginUrl(); echo 'Please <a href="' . $login_url . '">login.</a>'; error_log($e->getType()); error_log($e->getMessage()); } } else { // No user, so print a link for the user to login $login_url = $facebook->getLoginUrl(); echo 'Please <a href="' . $login_url . '">login.</a>'; } function object2Array($d){ if (is_object($d)){ $d = get_object_vars($d); } if (is_array($d)) { return array_map(__FUNCTION__, $d); } else { return $d; } } ?> 不确定这是否有帮助。 我认为您需要首先在 getloginurl() 过程中向用户请求扩展权限才能获取好友数据。通常,在正常许可的情况下,Facebook 只会向您提供基本信息。
Laravel 捕获 TokenMismatchException
可以使用 try catch 块捕获 TokenMismatchException 吗?我不想显示显示“VerifyCsrfToken.php 第 46 行中的 TokenMismatchException ...”的调试页面,而是希望它显示...
spring内部如何使用_csrf参数或X-CSRF-TOKEN header验证csrf token?
我正在使用spring并通过HttpSessionCsrfTokenRepository启用csrf,我清楚地知道客户端是否将csrf令牌作为请求spring的_csrf参数或X-CSRF-TOKEN标头发送
我使用react作为前端,使用django作为后端。 当我在本地主机上托管前端和后端时,一切正常,并且 X-CSRFTOKEN 发送完美。 const 实例 = axios.cr...
为什么对 'localhost:8000' 的 CSRF POST 请求成功,但对 '127.0.0.1:8000' 不成功?
我的前端(React)和后端(Django)是解耦的,分别在 localhost:3000 和 127.0.0.1:8000 上运行。 考虑以下前端请求: 异步函数测试() { 让令牌 =
我尝试构建一个非常简单的网站,可以在其中将数据添加到 sqlite3 数据库中。我有一个带有两个文本输入的 POST 表单。 索引.html: {% 如果 top_list %} 南... 我尝试构建一个非常简单的网站,可以将数据添加到 sqlite3 数据库中。我有一个带有两个文本输入的 POST 表单。 index.html: {% if top_list %} <ul> <b><pre>Name Total steps</pre></b> {% for t in top_list %} <pre>{{t.name}} {{t.total_steps}}</pre> {% endfor %} </ul> {% else %} <p>No data available.</p> {% endif %} <br> <form action="/steps_count/" method="post"> {% csrf_token %} Name: <input type="text" name="Name" /><br /> Steps: <input type="text" name="Steps" /><br /> <input type="submit" value="Add" /> </form> forms.py: from django import forms from steps_count.models import Top_List class Top_List_Form(forms.ModelForm): class Meta: model=Top_List views.py: # Create your views here. from django.template import Context, loader from django.http import HttpResponse from steps_count.models import Top_List from steps_count.forms import Top_List_Form from django.template import RequestContext from django.shortcuts import get_object_or_404, render_to_response def index(request): if request.method == 'POST': #form = Top_List_Form(request.POST) print "Do something" else: top_list = Top_List.objects.all().order_by('total_steps').reverse() t = loader.get_template('steps_count/index.html') c = Context({'top_list': top_list,}) #output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list]) return HttpResponse(t.render(c)) 但是,当我单击“提交”按钮时,我收到 403 错误: CSRF verification failed. Request aborted. 我已将 {% csrf_token %} 包含在index.html 中。但是,如果是 RequestContext 问题,我真的不知道在哪里以及如何使用它。我希望所有事情都发生在同一页面上(index.html)。 您可能错过了将以下内容添加到表单中: {% csrf_token %} 使用 render 快捷键,它会自动添加 RequestContext。 from django.http import HttpResponse from django.shortcuts import get_object_or_404, render from steps_count.models import Top_List from steps_count.forms import Top_List_Form def index(request): if request.method == 'POST': #form = Top_List_Form(request.POST) return HttpResponse("Do something") # methods must return HttpResponse else: top_list = Top_List.objects.all().order_by('total_steps').reverse() #output = ''.join([(t.name+'\t'+str(t.total_steps)+'\n') for t in top_list]) return render(request,'steps_count/index.html',{'top_list': top_list}) 添加到设置文件中 CSRF_TRUSTED_ORIGINS = [ 'https://appname.herokuapp.com' ] 当您发现此类消息时,这意味着 CSRF 令牌丢失或不正确。所以你有两个选择。 对于 POST 表单,您需要确保: 您的浏览器正在接受cookie。 在模板中,每个针对内部 URL 的 POST 表单内都有一个 {% csrf_token %} 模板标记。 另一种简单的方法只是在设置选项卡中的 MIDDLEWARE_CLASSES 中注释一行(不推荐)('django.middleware.csrf.CsrfViewMiddleware')。 MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', # 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ) 解决此问题的另一种最好的替代方法是使用 '@csrf_exempt' 注释。 使用 Django 3.1.1,您可以在您的方法中使用 @csrf_exempt。 from django.views.decorators.csrf import csrf_exempt @csrf_exempt def index(request): 并且您不需要在 html 中指定 {% csrf_token %}。 快乐学习.. 这里的一个常见错误是使用 render_to_response (这在旧教程中常用),它不会自动包含 RequestContext。渲染会自动包含它。 在按照教程创建新应用程序时了解了这一点,并且 CSRF 不适用于新应用程序中的页面。 在 HTML 标头中添加 <meta name="csrf_token" content="{{ csrf_token }}"> 然后在你的 JS/Angular 配置中: app.config(function($httpProvider){ $httpProvider.defaults.headers.post['X-CSRFToken'] = $('meta[name=csrf_token]').attr('content'); } 如果您使用 DRF,则需要添加 @api_view(['POST']) function yourFunctionName(data_1,data_2){ context = {} context['id'] = data_1 context['Valid'] = data_2 $.ajax({ beforeSend:function(xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = jQuery.trim(cookies[i]); if (cookie.substring(0, name.length + 1) == (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } if (settings.url == "your-url") xhr.setRequestHeader("X-CSRFToken", getCookie('csrftoken')); }, url: "your-url", type: "POST", data: JSON.stringify(context), dataType: 'json', contentType: 'application/json' }).done(function( data ) { }); 如果您输入了{%csrf_token%},但仍然遇到同样的问题,请尝试更改您的角度版本。这对我有用。最初我在使用 Angular 1.4.x 版本时遇到了这个问题。在我将其降级为 Angular 1.2.8 后,我的问题得到了解决。不要忘记添加 angular-cookies.js 并将其放在您的 js 文件中。 如果您使用 post 请求。 app.run(function($http, $cookies) { console.log($cookies.csrftoken); $http.defaults.headers.post['X-CSRFToken'] = $cookies.csrftoken; }); 1) {% csrf_token %} 不在模板中 - 或者 - 2) {% csrf_token %} 在 html 表单之外 使用装饰器: from django.views.decorators.csrf import csrf_exempt @csrf_exempt def method_name(): # body 确保您的浏览器接受 cookie。我遇到了同样的问题。 <form action="/steps_count/" method="post"> {% csrf_token %} Name: <input type="text" name="Name" /><br /> Steps: <input type="text" name="Steps" /><br /> <input type="submit" value="Add" /> </form> 检查对齐方式,表格内应留有一个空格。这就是几乎每个人都会犯错误的地方。 我在下面遇到了同样的错误: CSRF验证失败。请求已中止。 因为我没有在<form></form>中用method="post"设置csrf_token标签,如下图: <form action="{% url 'account:login' %}" method="post"> {% comment %} {% csrf_token %} {% endcomment %} ... </form> 所以,我在csrf_token中设置<form></form>标签和method="post"如下所示,然后错误就解决了: <form action="{% url 'account:login' %}" method="post"> {% csrf_token %} ... </form> 另外,无论你是否在csrf_token中设置了<form></form>标签,如下所示,都不会出现错误。 * method="get"只能将get和post请求方式设置为method,不能设置为<form></form>、head等,根据答案: put <form action="{% url 'account:login' %}" method="get"> {% comment %} {% csrf_token %} {% endcomment %} ... </form> CSRF(跨站点请求伪造)有助于防止对 Web 应用程序或网站的攻击。 Django 中的每个会话都有自己的令牌,当会话过期时,令牌将被销毁,您必须请求新令牌才能访问会话。在我的情况下,我的会话已结束,并且我已退出会话。我必须创建新的超级用户并再次登录。
如何将 Spring Security 的 CSRF 功能用于无状态端点?
我正在将 Spring Security 与无状态 Web 服务结合使用。我想使用 Spring Security 3.2 中的 CSRF 功能。无状态网络应用程序可以实现这一点吗? 这是相关的 Java 配置,因为...
我有一个来自数据库的条目列表。我希望在每一行的末尾都有一个“删除按钮”,这样用户就不必先转到编辑/显示页面来删除条目。 我
如何在我的axios请求中设置CSRF TOKEN,我已经尝试过这个 // axios.defaults.xsrfCookieName = 'csrftoken'; // axios.defaults.xsrfHeaderName = 'X-XSRF-TOKEN'; const tokenApp = window.localStorage.
如何配置 NGINX 以允许对 Spring Boot 应用程序进行 CSRF 保护
我正在尝试使用 NGINX 反向代理将我的 Spring Boot 应用程序与我的前端(即我的 Angular 7+ 应用程序)分开。 我的 Spring Boot 应用程序的版本是 2.0.3+.RELEASE 并且...
在启用CSRF保护的情况下,在primefaces + spring网站中使Primefaces文件上传按钮正常工作,而无需避免保护
我有一个演示应用程序,由一个表单(dashboard.xhtml)组成,它允许用户选择一个文件,然后向表中添加一行。为此,它有两个 Primefaces 文件上传按钮,第一个......
对于我的注册和登录视图,我收到此错误 CSRF验证失败。请求被中止。 您看到此消息是因为此网站在提交表单时需要 CSRF cookie。这个饼干...
我使用 Spring Boot 2 和 Spring 5 来创建一个保存两个实体的应用程序:User 和 UserProfile。这是我的控制器类: @RestController @RequestMapping(“用户配置文件”) 公共...
Django CSRF 令牌在生产环境中未保存到浏览器 cookie,但在开发环境中工作
我们已经创建了一个 Django 应用程序来创建 Shopify 应用程序。我们在生产环境中遇到问题,我们对 Django 应用程序的 AJAX 调用失败,因为 CSRF 令牌...
所需的防伪 cookie“.AspNetCore.Antiforgery.JREqX-HygdI”不存在
后端我使用aspnetcore webapi,从前端发送登录凭据并在后端进行身份验证后,我在cookie中添加csrf令牌,然后在前端获取并添加到ot...