Pemalsuan Permintaan Lintas Situs adalah serangan jahat untuk mengeksploitasi kepercayaan situs web di browser pengguna.
Saya sedang menulis aplikasi (Django, itu terjadi) dan saya hanya ingin tahu apa sebenarnya token "CSRF" itu dan bagaimana melindungi data. Apakah data posting tidak aman jika Anda tidak menggunakan token
Saya mencoba memahami seluruh masalah dengan CSRF dan cara yang tepat untuk mencegahnya. (Sumber yang telah saya baca, pahami, dan setujui dengan: Lembar Cegah Pencegahan CSRF OWASP , Pertanyaan tentang CSRF .) Seperti yang saya pahami, kerentanan sekitar CSRF diperkenalkan oleh asumsi bahwa (dari...
Saya mengirim data dari tampilan ke pengontrol dengan AJAX dan saya mendapat kesalahan ini: PERINGATAN: Tidak dapat memverifikasi keaslian token CSRF Saya pikir saya harus mengirim token ini dengan data. Adakah yang tahu bagaimana saya bisa melakukan ini? Sunting: Solusi saya Saya melakukan...
Saya telah menerapkan mitigasi serangan CSRF di aplikasi saya mengikuti informasi yang saya baca di beberapa posting blog di internet. Khususnya posting ini telah menjadi pendorong implementasi saya Praktik Terbaik untuk ASP.NET MVC dari Tim Konten Pengembang ASP.NET dan Alat Web Anatomi...
Saya dapat menggunakan beberapa bantuan yang sesuai dengan mekanisme perlindungan CSRF Django melalui pos AJAX saya. Saya telah mengikuti petunjuk di sini: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Saya telah menyalin kode sampel AJAX yang mereka miliki di halaman itu dengan...
Saya mengalami masalah dengan AntiForgeryToken dengan ajax. Saya menggunakan ASP.NET MVC 3. Saya mencoba solusi di panggilan jQuery Ajax dan Html.AntiForgeryToken () . Menggunakan solusi itu, token sekarang sedang diteruskan: var data = { ... } // with token, key is
Dari apa yang saya pelajari sejauh ini, tujuan token adalah untuk mencegah penyerang memalsukan pengiriman formulir. Misalnya, jika situs web memiliki formulir yang memasukkan item tambahan ke keranjang belanja Anda, dan penyerang bisa mengirim spam keranjang belanja Anda dengan barang-barang yang...
Saya tahu otentikasi berbasis cookie. Bendera SSL dan HttpOnly dapat diterapkan untuk melindungi otentikasi berbasis cookie dari MITM dan XSS. Namun, tindakan yang lebih khusus akan diperlukan untuk diterapkan untuk melindunginya dari CSRF. Mereka sedikit rumit. ( referensi ) Baru-baru ini, saya...
Saya telah melihat artikel dan posting di seluruh (termasuk SO) tentang topik ini, dan komentar yang berlaku adalah bahwa kebijakan yang sama asal mencegah bentuk POST di seluruh domain. Satu-satunya tempat saya melihat seseorang menyarankan bahwa kebijakan asal yang sama tidak berlaku untuk...
Jika protect_from_forgeryopsi tersebut disebutkan dalam application_controller, maka saya bisa masuk dan melakukan permintaan GET, tetapi pada permintaan POST pertama Rails me-reset sesi, yang mengeluarkan saya. Saya protect_from_forgerymematikan opsi untuk sementara, tetapi ingin menggunakannya...
Apakah perlu menggunakan Perlindungan CSRF ketika aplikasi mengandalkan otentikasi tanpa kewarganegaraan (menggunakan sesuatu seperti HMAC)? Contoh: Kami punya app halaman (jika tidak kita harus menambahkan tanda pada setiap link: <a href="...?token=xyz">...</a>. Pengguna...
Saya tahu bahwa ada jawaban mengenai Django Rest Framework, tetapi saya tidak dapat menemukan solusi untuk masalah saya. Saya memiliki aplikasi yang memiliki otentikasi dan beberapa fungsi. Saya menambahkan aplikasi baru ke dalamnya, yang menggunakan Django Rest Framework. Saya ingin menggunakan...
Halaman pendaftaran saya menunjukkan formulir dengan benar dengan CsrfToken ( {{ csrf_field() }}) hadir dalam formulir). Formulir HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Saya...
Saya memiliki aplikasi rel yang menyajikan beberapa API ke aplikasi iPhone. Saya ingin dapat memposting di sumber daya tanpa memikirkan untuk mendapatkan token CSRF yang benar. Saya mencoba beberapa metode yang saya lihat di sini di stackoverflow tetapi tampaknya metode tersebut tidak lagi...
Pertanyaan ini adalah tentang melindungi dari serangan Pemalsuan Permintaan Lintas Situs saja. Ini secara khusus tentang: Apakah perlindungan melalui header Origin (CORS) sebaik perlindungan melalui token CSRF? Contoh: Alice masuk (menggunakan cookie) dengan browsernya ke " https://example.com...
Saya mencoba menambahkan beberapa keamanan ke formulir di situs web saya. Salah satu formulir menggunakan AJAX dan yang lainnya adalah formulir "hubungi kami" langsung. Saya mencoba menambahkan token CSRF. Masalah yang saya hadapi adalah bahwa token hanya muncul di "nilai" HTML beberapa waktu....
Setelah mengkonfigurasi Spring Security 3.2, _csrf.tokentidak terikat pada permintaan atau objek sesi. Ini adalah konfigurasi keamanan pegas: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login...
Saya menginstal Laravel 5.7 Menambahkan formulir ke file \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Ditambahkan ke file