1. IT宝库
  2. 编程技术问答
  3. csrf-protection
以下是关于 csrf-protection 的编程技术问答
保护表格劫持黑客
是的,今天我发现了我网站的黑客. 当您在用户墙上(在我的社区场所)上编写一个味精时,它会运行Ajax调用,以将MSG插入DB,然后成功地向下滑动并显示它. 毫无问题地工作. 所以我正在重新思考Alittle,我正在使用邮政方法来解决此问题,如果得到方法,您可以轻松地做?msg = haxmsg&usr = 12345679.但是,您该怎么做才能围绕帖子方法? 我制作了一个新的HTML文档,制作了一个表格,然后在操作中设置了" site.com/insertwall.php"(通常在Ajax中使用的文件),我制作了一些输入字段,名称与我完全一样使用AJAXCALL(msg,uid(userId),buid(由UserId))并制作了一个提交按钮. 我知道我有一个page_protect()函数,在该功能上需要您登录,如果您将成为index.php的标题.因此,我登录了(在我的site.com上开始会话),然后按下此提交按钮.然后在我的网站上看到它发出了新消息.
0 2023-06-02
编程技术问答社区
Codeigniter csrf token with ajax request (500 internal server error)
我很难通过启用CSRF令牌的CI表单来提出AJAX请求.我一直在进行一项漫长的研究,我想出了相同的解决方案在与该问题相关的每个问题中都发布了,该问题将令牌瓦尔添加到Ajax请求中的序列化数据中.我在ajaxsetup中做到了这一点,我得到了令牌,但仍然遇到同样的问题.这是我的代码. //AJAX Setup $.ajaxSetup({ data:{ csrf_test_name: $("input[name='csrf_test_name']").val() } }); //Function ajax login $("form#login").on("submit", function(e){ var $this = $(this); var mensaje = $("div.msglogin"); $.ajax({ type: "POST", url: $this.a
0 2023-06-01
编程技术问答社区
无法登录mediawiki:作为对会话劫持的预防措施,取消了?
我正在使用在AWS EC2实例上托管的私人媒体维基 我认为某些扩展程序出了问题,特别是在数学渲染的中间停止,所以我试图通过Google Chrome浏览器的缓存重新加载页面. 之后,我无法登录此消息:"您的登录会话似乎存在问题;此操作已被取消,以预防会议劫持.返回上一页,重新加载该页面然后再试一次." 我尝试了, 1.重新启动Apache服务器 2.尝试 ersewiki sersions and cookie and cookies and cookies and Cookies Cloudflare背后的多服务器 3.尝试 MediaWiki,密码更改后无法登录 4.尝试"在localsettings.php中浏览,最后添加以下行码:session_save_path(" tmp");在您的Wiki安装目录中创建一个文件夹" tmp". a href="https://www.mediawiki.org/wiki/Topic:Pjby0sdeg3e60rfy" rel="n
2 2023-05-31
编程技术问答社区
laravel 4: 为什么Request::header()没有得到指定的头信息?
我正在尝试以: 获得标题值 Request::header('csrf_token') 不过,我的firebug在标题中说我将CSRF_Token设置为baMDpF0yrfRerkdihFack1Sa9cchUk8qBzm0hK0C.实际上,我可以使用本机PHP代码来获得csrf_token: getallheaders()['csrf_token'] 现在问题是我在做XSRF保护吗?也许我做过的PHP代码有一个缺陷,我确实必须使用buggy laravel 4功能 Request::header('csrf_token') 除了空白外,什么都没有返回.我只是错过了一些东西.也许在我的Laravel 4配置等中? p.s:我正在使用angularjs,但也许我使用的是什么客户都没关系.我有此链接作为指南:使用laravel api? 解决方案 我通过在csrf_token中删除下划线'_'解决了问题. Request::header('c
0 2023-05-31
编程技术问答社区
laravel 5 csrf_token值为空
为什么laravel 5 csrf_token值总是空的? 我如何获得该令牌值? 我尝试了, {!! csrf_token !!} , {{ csrf_token }} and {{ Form::open() }} ....{{ Form::close() }} 我的输出 解决方案 这是因为您不使用Web组中间件. Laravel足够聪明,可以知道,如果您不使用该组A令牌是不需要的. 尝试将路线移入Route::group(['middleware' => 'web'] ...并告诉我们有关它的信息:) 来源:不久前我犯了同样的错误. 其他解决方案 感谢所有. 最后我找到了解决方案. 新的安装: Route::get('foo', function () { return csrf_token(); // nul
0 2023-05-28
编程技术问答社区
Laravel 5 和 Internet Explorer : 代币不匹配
我的Laravel5网站使用CSRF令牌来防止CSRF攻击.在镀铬和firefox上,eveything效果很好. 我提交了网站供我的客户进行测试,当他使用Internet Explorer(9/10)时,他使用令牌在Evey页面上存在"令牌不匹配"错误. 我认为这是一个cookie/session问题. 经过一番研究,我尝试在cookie名称(" laravel_session")中删除斜线,并更改会话驱动程序(默认情况下为"文件").它没有帮助. 我知道我的客户可以在IE中更改其"信任政策",但这只是一个公共站点,这只是一个临时解决方案. 关于这个怪异问题的任何问题? 解决方案 我不确定您的情况.但是我今天只是遇到了同样的问题.只有IE有问题. FF和Chrome效果很好. 然后,我意识到这是服务器的时间/日期是错误的.将服务器设置为当前日期,然后一切正常. 我想这是因为服务器将根据自己的时间设置cookie到期,而在客户端,如果服务器落
0 2023-05-28
编程技术问答社区
Laravel 419 error-verifycsrftoken issue
我在同一家服务器上有多个Laravel站点.在我创建的最新站点的情况下,联系表拒绝提交而不会丢弃419错误.我已经在我的Web.php文件中设置了路由,就像其他网站一样,这些网站具有实时,工作联系表,并且我以{{ csrf_field() }}> 的方式生成和发送令牌的方式 我找到了一个类似问题的答案,说明您可以通过在app/Http/Middleware/VerifyCsrfToken.php中的$except数组中添加条目来禁用CSRF检查.我已经确认这确实解决了419错误: protected $except = [ 'contact', 'contact*', ]; 但是,我当然希望保留CSRF功能,而我仅更新了$except数组以进行故障排除值. 有谁知道尽管传递了产生的令牌,但新的Laravel环境可能会有什么不同?我尝试更新许多ENV设置并切换不同的内容,但是除了修改$except数组之外,没有其他事情对问题有任何影响. 更新
0 2023-05-27
编程技术问答社区
如何在Phoenix框架中选择性地禁用CSRF检查
我正在尝试创建一个指向我网站的Facebook页面选项卡. Facebook将HTTP帖子请求发送到我网站的URL. 这里的问题是服务器具有内置CSRF检查,并且返回以下错误: (Plug.CSRFProtection.InvalidCSRFTokenError) invalid CSRF (Cross Site Forgery Protection) token, make sure all requests include a '_csrf_token' param or an 'x-csrf-token' header` 服务器期望Facebook无法拥有的CSRF令牌.因此,我想选择性地禁用CSRF的路径www.mywebsite.com/facebook. 我该如何在凤凰框架中进行? 解决方案 使用protect_from_forgery在路由器中启用Plug.CSRFProtection.默认情况下在browser管道中设置.添加了插头后,就无法将其
0 2023-05-25
编程技术问答社区
CSRFGuard-request token与session token不匹配
我正在尝试合并CSRFGuard库,以便在应用程序中纠正某些CSRF漏洞.但是,在按照指定的之后进行配置之后导航应用程序: WARNING: potential cross-site request forgery (CSRF) attack thwarted (user:, ip:169.xx.x.xxx, uri:/myapp/MyAction, error:request token does not match session token) 通过包括: 在我的main.jsp页面上,链接都已构建,并结合了CSRFGuard token,例如. ......./myapp/MyAction?CSRFTOKEN=BNY8-3H84-6SRR-RJXM-KMCH-KLLD-1W45-M18N 因此,我无法理解我做错了什么,这可能会导致链接通过
4 2023-05-15
编程技术问答社区
CSRF令牌在nodejs express中不起作用
我正在使用NodeJS,Express开发一个简单的Web应用程序,当我切换到Session和CSRF时,我的PUT,DELETE和POST请求就会失败. 错误: error: Forbidden at Object.exports.error (appFolder/node_modules/express/node_modules/connect/lib/utils.js:63:13) at createToken (appFolder/node_modules/express/node_modules/connect/lib/middleware/csrf.js:82:55) 我看着这条线,发现它调用checkToken 功能 该调用在此类请求中找到CSRF令牌的默认值: function defaultValue(req) { return (req.body && req.body._csrf) || (req.query && req.query.
2 2023-04-27
编程技术问答社区
ForbiddenError: invalid csrf token, express js
我试图让CSURF上班,但似乎偶然发现了一些东西.到目前为止,代码看起来像这样: index.ejs . . 在何处将密码和用户名插入表单. app.js var express = require('express'); var helmet = require('helmet'); var csrf = require('csurf'); var path = require('path'); var favicon = require('serve-favicon'); var flash = require('connect-flash'); var logger = require(
2 2023-04-24
编程技术问答社区
快捷的CSRF令牌验证
我对CSRF代币有问题.当我提交表格时,正在生成一个新的XSRF-TOKEN,但我认为我生成了两个不同的令牌,我有点困惑.还有一个名为_csrf的令牌,所以我在开发人员工具(XSRF-Token和_CSRF)中看到了两个不同的cookie,_csrf _csrf在发布后不会更改. 我要做的是为每个帖子请求生成一个新令牌,并检查其是否有效.我知道我应该为安全而做的一件事,但我坚持了. 这是漫长的一天,我是新来的Express和Nodejs. 这是我当前的设置. var express = require('express') , passport = require('passport') , flash = require('connect-flash') , utils = require('./utils') , csrf = require('csurf') // setup route middlewares ,csrfProtec
0 2023-04-24
编程技术问答社区
Angular 2:为noNgForm添加csrf参数
今天面临着从Angular Spa上提交HTML模板的表格的问题. 首先,使用提交的简单表格没有解决问题,因为Angular捕获了提交事件不允许提交表格.    Login via Facebook 让Angular忽略它,让您的浏览器执行您必须添加ngNoForm标题的帖子:
8 2023-04-12
编程技术问答社区
CSRF保护技术
有人可以将我指向有关如何保护应用程序免受CSRF的信息? 与此相关的任何代码. 我正在使用UI,后端和Tomcat服务器的Java使用ExtJ. 预先感谢. 解决方案 以Dan_waterworth建议的方式使用会话ID虽然很容易保护.攻击者只需要捕获会话ID cookie,然后就可以规避会议寿命的保护. 会话ID是一个cookie,因此随着任何请求提交.因此,攻击者捕获SessionID所需要做的就是使您的应用程序在攻击者的控制下向服务器提交请求.这可以通过跨站点脚本攻击来完成,但也可以通过构建应用程序并提交iFrame表格(还有其他方法可以做到这一点)来完成. 需要保护不受CSRF的相互作用应包括攻击者不可能提前知道的信息(CSRF令牌),该信息是每个会话,每个页面和每个表格,然后仅使用一次. CSRF令牌应以表格而不是曲奇提交(出于上述原因).请参阅 Owasp csrf CSRF保护作弊有关详细信息和示例实现.一些Web应用程序引擎(例如To
30 2023-04-12
编程技术问答社区
用Flask WTF-Form手动生成CSRF令牌
我想仅使用Python代码创建并填写烧瓶WTF形式.但是,当我使用Python代码创建它时,该表单不会自动生成CSRF令牌.有什么方法可以手动执行此操作? 所讨论的形式: from flask_wtf import Form from wtforms import StringField from wtforms.validators import DataRequired, URL class URLForm(Form): url = StringField('url', validators=[DataRequired(), URL(), Level3Url()]) 我用来生成表单的代码: from forms import URLForm form = URLForm() if 'url' in request.args: url = request.args.get('url') form.url.data = url if
12 2023-04-12
编程技术问答社区
Spring Boot CSRF
试图在最新的春季靴子上实现CSRF保护. Internet上的所有示例均基于我不需要的用户登录和身份验证. 我的网站没有任何需要身份验证的部分. 我想要 1)REST请求来自站点内.不允许外面的直接请求. 2)必须从索引页(/) 请求所有页面(路由) 包括pom.xml 中的安全依赖性 org.springframework.boot spring-boot-starter-security - application.properties中定义的用户(即使我不需要) - 应用程序创建_csrf.token. - 创建了使用"配置"方法覆盖的WebSecurityConfigurerAdapter的类. 在"配置"中尝试了所有建议的过滤器.它没有起作用,终于使它空白了. 问题是WGET可以直接获
20 2023-04-12
编程技术问答社区
Symfony 4-如何在不建立表单的情况下添加csrf token?
我在这里阅读教程 /a> 如何添加CSRF令牌.它说使用 form_end() 模板中.但这是不起作用的,给出错误: 类型错误:太少的参数无法运行 symfony \ component \ form \ formrenderer :: renderblock(),0传递 E:\ projektai \ php projektai\htdocs\mokomieji\symfony_4_demo\var\cache\dev\twig\bb\bb2248f7be504240fcc2ab43dabf593090ebc4c897ce72b1a979082d62914b47.php 在第48行和至少2条预期 上 这是一个答案,它显示了如何修复,但是只有当您构建形式对象时才: symfony类型错误类型错误:renderblock() 如何在没有形式对象的情况下执行此操作?这是从登录文档页面登录页面: {% if error %}
10 2023-04-12
编程技术问答社区
热门专题
input输入padding Unity 摄像机渲染 受Secen的自由视角影响 cdh web界面集群里添加新主机 上传jar包报405 强制关闭rman备份 centos看硬盘空间 删掉矩阵中的重复元素二维 phpstorm xdebug 有伪静态的时候怎么调试 Spring boot 如何将图片转换成缩略图 异步http java HDP zookeeper集群链接断开 anyconnet Linux客户端 那个版本的navicat可以进入mysql8.0 thymeleaf抽取公共header express next传参给路由 httpServletRequest 请求后面加对象 cesium绘制立体行政区划 echarts柱状图超出X轴右边 idea中ssm项目编译后无法加载配置文件 base64 delphi 和php不兼容