«csrf» 태그된 질문

응용 프로그램을 작성하고 있습니다 (Django, 그렇게됩니다). 실제로 "CSRF 토큰"이 무엇이며 어떻게 데이터를 보호하는지에 대한 아이디어가 필요합니다. CSRF 토큰을 사용하지 않으면 게시물 데이터가 안전하지 않습니까?

628 csrf 

CSRF의 모든 문제와 그것을 방지하는 적절한 방법을 이해하려고합니다. (내가 읽고 이해하고 동의 한 리소스 : OWASP CSRF Prevention CHeat Sheet , CSRF에 대한 질문 ) 내가 이해하는 것처럼 CSRF와 관련된 취약점은 웹 서버의 관점에서 들어오는 HTTP 요청의 유효한 세션 쿠키가 인증 된 사용자의 희망을 반영한다고 가정하여 도입되었습니다. 그러나 원본 도메인에 …

284 security  cookies  web  csrf  owasp 

AJAX를 사용하여보기에서 컨트롤러로 데이터를 보내고 있는데이 오류가 발생했습니다. 경고 : CSRF 토큰 진위를 확인할 수 없습니다 나는이 토큰을 데이터와 함께 보내야한다고 생각합니다. 아무도 내가 어떻게 할 수 있는지 알고 있습니까? 편집 : 내 솔루션 AJAX 포스트에 다음 코드를 넣어서이 작업을 수행했습니다. headers: { 'X-Transaction': 'POST Example', 'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content') },

238 ruby-on-rails  jquery  csrf 

내 앱에서 CSRF 공격에 대한 완화를 구현했습니다.인터넷에서 블로그 게시물에서 읽은 정보에 따라 . 특히이 게시물은 내 구현의 동인이었습니다. ASP.NET MVC에 대한 모범 사례ASP.NET 및 웹 도구 개발자 콘텐츠 팀의 사이트 간 요청 위조 공격 분석Phil Haack 블로그 ASP.NET MVC 프레임 워크의 AntiForgeryToken- David Hayden 블로그의 Html.AntiForgeryToken 및 ValidateAntiForgeryToken 특성 기본적으로 …

207 asp.net-mvc  ajax  asp.net-mvc-2  csrf  antiforgerytoken 

내 AJAX 게시물을 통해 Django의 CSRF 보호 메커니즘을 준수하는 데 도움이 될 수 있습니다. 나는 여기의 지시를 따랐다. http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ 해당 페이지에있는 AJAX 샘플 코드를 정확하게 복사했습니다. http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax 나는 내용을 인쇄 getCookie('csrftoken')하기 전에 경고를 넣어xhr.setRequestHeader통화 실제로 일부 데이터로 채워져 있습니다. 토큰이 올바른지 확인하는 방법을 잘 모르겠지만 무언가를 찾아서 보내는 것이 좋습니다. …

180 python  ajax  django  csrf 

AntiForgeryToken에 아약스 문제가 있습니다. ASP.NET MVC 3을 사용하고 있습니다. jQuery Ajax 호출 및 Html.AntiForgeryToken () 에서 솔루션을 시도했습니다 . 해당 솔루션을 사용하여 이제 토큰이 전달됩니다. var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", traditional: true, contentType: "application/json; charset=utf-8", url: …

168 asp.net  ajax  asp.net-mvc  asp.net-mvc-3  csrf 

지금까지 배운 내용에서 토큰의 목적은 공격자가 양식 제출을 위조하지 못하게하는 것입니다. 예를 들어, 웹 사이트에 입력 한 양식에 장바구니에 항목을 추가 한 경우 공격자가 원하지 않는 항목으로 장바구니를 스팸으로 만들 수 있습니다. 장바구니 양식에 유효한 여러 입력이있을 수 있으므로 공격자는 웹 사이트에서 판매하는 항목을 알고 있으면됩니다. 이 경우 토큰이 작동하는 …

161 php  token  csrf 

쿠키 기반 인증을 알고 있습니다. MITM 및 XSS로부터 쿠키 기반 인증을 보호하기 위해 SSL 및 HttpOnly 플래그를 적용 할 수 있습니다. 그러나 CSRF로부터 보호하기 위해서는보다 특별한 조치가 필요합니다. 그들은 조금 복잡합니다. ( 참고 ) 최근에는 JSON 웹 토큰 (JWT)이 인증 솔루션으로 매우 뜨겁다는 것을 알게되었습니다. JWT 인코딩, 디코딩 및 확인에 …

159 security  authentication  cookies  csrf  jwt 

이 주제에 대한 기사와 게시물을 모두 보았습니다 (SO 포함). 주석 의견은 동일한 출처 정책으로 인해 도메인 전체에서 POST 형식을 막을 수 있다는 것입니다. 내가 본 사람이 같은 출처 정책이 게시물 게시에 적용되지 않는다고 제안하는 유일한 장소 는 여기 입니다. 좀 더 "공식적인"또는 공식적인 출처로부터 답변을 받고 싶습니다. 예를 들어, 동일한 …

145 html  security  http  csrf  same-origin-policy 

protect_from_forgery옵션이 application_controller에 언급되어 있으면 로그인하고 GET 요청을 수행 할 수 있지만 처음 POST 요청에서 Rails가 세션을 재설정하여 로그 아웃합니다. 나는되어 protect_from_forgery일시적으로 해제 옵션을하지만, Angular.js와 함께 사용하고 싶습니다. 그렇게 할 방법이 있습니까?

129 ruby-on-rails  angularjs  csrf  protect-from-forgery 

애플리케이션이 상태 비 저장 인증 (HMAC과 같은 것을 사용)에 의존 할 때 CSRF 보호를 사용해야합니까? 예: 단일 페이지 앱이 있습니다 (그렇지 않으면 각 링크에 토큰을 추가해야합니다 : <a href="...?token=xyz">...</a>. 사용자는 POST /auth. 인증이 성공하면 서버는 일부 토큰을 반환합니다. 토큰은 단일 페이지 앱 내의 일부 변수에 JavaScript를 통해 저장됩니다. 이 토큰은와 …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

내 등록 페이지는 양식에 CsrfToken ( {{ csrf_field() }})이 있는 양식을 올바르게 표시합니다 . HTML 양식 <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> 사용자를 위해 내장 인증을 사용하고 있습니다. 경로 및 리디렉션을 제외하고는 아무것도 변경하지 않았습니다. 양식을 제출할 때 (다시로드 한 직후에도) 비활성으로 인해 …

111 php  laravel  csrf  laravel-5.5 

Django Rest Framework에 대한 답변이 있다는 것을 알고 있지만 내 문제에 대한 해결책을 찾을 수 없습니다. 인증 및 일부 기능이있는 응용 프로그램이 있습니다. Django Rest Framework를 사용하는 새 앱을 추가했습니다. 이 앱에서만 라이브러리를 사용하고 싶습니다. 또한 POST 요청을하고 싶습니다. 항상이 응답을받습니다. { "detail": "CSRF Failed: CSRF token missing or incorrect." …

111 django  django-rest-framework  csrf  django-csrf 

iPhone 애플리케이션에 일부 API를 제공하는 레일스 앱이 있습니다. 올바른 CSRF 토큰을 얻지 않고 리소스에 간단히 게시 할 수 있기를 원합니다. 여기 stackoverflow에서 볼 수있는 몇 가지 방법을 시도했지만 더 이상 레일 3에서 작동하지 않는 것 같습니다. 도와 주셔서 감사합니다.

105 ruby-on-rails-3  csrf 

이 질문은 Cross Site Request Forgery 공격으로부터 만 보호하는 것에 관한 것입니다. 구체적으로 다음과 같습니다. Origin 헤더 (CORS)를 통한 보호가 CSRF 토큰을 통한 보호만큼 좋은가요? 예: Alice는 브라우저에서 " https://example.com "에 로그인 (쿠키 사용) 합니다. 나는 그녀가 최신 브라우저를 사용한다고 가정합니다. Alice는 " https://evil.com "을 방문 하고 evil.com의 클라이언트 측 …

103 javascript  security  cors  csrf