«csrf» 태그된 질문

Cross Site Request Forgery는 사용자 브라우저에서 웹 사이트의 신뢰를 악용하는 악의적 인 공격입니다.

3
PHP를 사용하여 CSRF (Cross-Site Request Forgery) 토큰을 올바르게 추가하는 방법
내 웹 사이트의 양식에 보안을 추가하려고합니다. 양식 중 하나는 AJAX를 사용하고 다른 하나는 간단한 "문의하기"양식입니다. CSRF 토큰을 추가하려고합니다. 내가 가지고있는 문제는 토큰이 HTML "값"에 가끔 표시된다는 것입니다. 나머지 시간에는 값이 비어 있습니다. 다음은 AJAX 양식에서 사용중인 코드입니다. PHP : if (!isset($_SESSION)) { session_start(); $_SESSION['formStarted'] = true; } if (!isset($_SESSION['token'])) {$token …
96 php  security  session  csrf 
11
요청 매개 변수 '_csrf'또는 헤더 'X-CSRF-TOKEN'에서 유효하지 않은 CSRF 토큰 'null'이 발견되었습니다.
Spring Security 3.2를 구성한 후 _csrf.token요청 또는 세션 개체에 바인딩되지 않습니다. 이것은 스프링 보안 구성입니다. <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> login.jsp 파일 <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" name="${_csrf.parameterName}" …
30
Laravel에 게시 요청-오류-419 죄송합니다. 세션 / 419 페이지가 만료되었습니다.
라 라벨 5.7을 설치했습니다. 파일에 양식 추가 \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> 파일에 추가됨 \routes\web.php Route::post('/foo', function () { echo 1; return; }); POST 요청을 보낸 후 : 419 죄송합니다. 세션이 만료되었습니다. 새로 고침하고 다시 시도하세요. 버전에서는 5.6그런 문제가 없었습니다.
88 php  laravel  csrf 
10
rails-json 고안 요청에 대한 "경고 : CSRF 토큰 인증을 확인할 수 없습니다"
JSON 요청으로 전달할 CSRF 토큰을 검색하려면 어떻게해야합니까? 보안상의 이유로 Rails가 모든 요청 유형 (JSON / XML 포함) 에서 CSRF 토큰 을 확인하고 있다는 것을 알고 있습니다. 컨트롤러에 넣을 수는 skip_before_filter :verify_authenticity_token있지만 CRSF 보호 기능을 잃게됩니다 (권장하지 않음 :-)). 이 비슷한 (여전히 받아 들여지지 않음) 대답 은 다음을 제안합니다. 다음을 사용하여 …
5
JSON 웹 서비스는 CSRF 공격에 취약합니까?
요청 및 응답 콘텐츠에 JSON을 독점적으로 사용하는 웹 서비스를 구축하고 있습니다 (즉, 양식 인코딩 된 페이로드 없음). 다음과 같은 경우 웹 서비스가 CSRF 공격에 취약합니까? POST예를 들어 최상위 JSON 객체가없는 모든 요청 {"foo":"bar"}은 400으로 거부됩니다. 예를 들어 POST콘텐츠 42가 있는 요청은 거부됩니다. 상관 POST이외의 콘텐츠 유형의 요청 application/json, 예를 들어 …
82 http  security  csrf 
6
RESTful 애플리케이션에서 CSRF를 방지하는 방법은 무엇입니까?
CSRF (Cross Site Request Forgery)는 일반적으로 다음 방법 중 하나로 방지됩니다. 참조 자 확인-RESTful이지만 신뢰할 수 없음 양식에 토큰을 삽입하고 서버 세션에 토큰을 저장하십시오-실제로 RESTful이 아닙니다. 암호화 된 일회용 URI-토큰과 같은 이유로 RESTful이 아닙니다. 이 요청에 대해 수동으로 비밀번호 보내기 (HTTP 인증에 사용 된 캐시 된 비밀번호가 아님)-RESTful하지만 편리하지 않음 …
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.