La programmation csrf

5

Qu'est-ce qu'un jeton CSRF? Quelle est son importance et comment ça marche?

J'écris une application (Django, ça arrive) et je veux juste une idée de ce qu'est réellement un "token CSRF" et comment il protège les données. Les données de publication ne sont-elles pas sûres si vous n'utilisez pas de jetons CSRF?

629 csrf

4

Pourquoi est-il courant de placer des jetons de prévention CSRF dans les cookies?

J'essaie de comprendre tout le problème du CSRF et les moyens appropriés de le prévenir. (Ressources que j'ai lues, comprises et approuvées: Aide-mémoire sur la prévention de la CSRF de l'OWASP , Questions sur la CSRF .) Si je comprends bien, la vulnérabilité autour de CSRF est introduite par l'hypothèse …

284 security cookies web csrf owasp

17

AVERTISSEMENT: impossible de vérifier les rails d'authenticité du jeton CSRF

J'envoie des données de la vue au contrôleur avec AJAX et j'ai eu cette erreur: AVERTISSEMENT: impossible de vérifier l'authenticité du jeton CSRF Je pense que je dois envoyer ce jeton avec des données. Est-ce que quelqu'un sait comment faire cela? Edit: Ma solution J'ai fait cela en mettant le …

238 ruby-on-rails jquery csrf

20

Appels jQuery Ajax et Html.AntiForgeryToken ()

J'ai mis en œuvre dans mon application l'atténuation des attaques CSRF suite aux informations que j'ai lues sur certains articles de blog sur Internet. En particulier, ces postes ont été le moteur de ma mise en œuvre Meilleures pratiques pour ASP.NET MVC de l'équipe de contenu pour les développeurs ASP.NET …

207 asp.net-mvc ajax asp.net-mvc-2 csrf antiforgerytoken

18

Échec de la vérification de Django CSRF avec une requête Ajax POST

Je pourrais utiliser un peu d'aide pour me conformer au mécanisme de protection CSRF de Django via mon article AJAX. J'ai suivi les instructions ici: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ J'ai copié exactement l'exemple de code AJAX qu'ils ont sur cette page: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax J'ai mis une alerte imprimant le contenu de getCookie('csrftoken')avant l' xhr.setRequestHeaderappel …

180 python ajax django csrf

11

inclure antiforgerytoken dans ajax post ASP.NET MVC

J'ai des problèmes avec l'AntiForgeryToken avec ajax. J'utilise ASP.NET MVC 3. J'ai essayé la solution dans les appels jQuery Ajax et le Html.AntiForgeryToken () . En utilisant cette solution, le jeton est maintenant passé: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: …

168 asp.net ajax asp.net-mvc asp.net-mvc-3 csrf

4

Les formulaires de connexion ont-ils besoin de jetons contre les attaques CSRF?

D'après ce que j'ai appris jusqu'à présent, le but des jetons est d'empêcher un attaquant de falsifier une soumission de formulaire. Par exemple, si un site Web avait un formulaire qui saisissait des articles ajoutés à votre panier, et qu'un attaquant pourrait spammer votre panier avec des articles que vous …

161 php token csrf

3

Où stocker JWT dans le navigateur? Comment se protéger contre le CSRF?

Je connais l'authentification basée sur les cookies. Les indicateurs SSL et HttpOnly peuvent être appliqués pour protéger l'authentification basée sur les cookies contre MITM et XSS. Cependant, des mesures plus spéciales seront nécessaires afin de le protéger du CSRF. Ils sont juste un peu compliqués. ( référence ) Récemment, j'ai …

159 security authentication cookies csrf jwt

3

POST de formulaires inter-domaines

J'ai vu des articles et des messages partout (y compris SO) sur ce sujet, et le commentaire dominant est que la politique de même origine empêche un formulaire POST entre les domaines. Le seul endroit où j'ai vu quelqu'un suggérer que la politique de même origine ne s'applique pas aux …

145 html security http csrf same-origin-policy

8

Rails CSRF Protection + Angular.js: protect_from_forgery me fait me déconnecter sur POST

Si l' protect_from_forgeryoption est mentionnée dans application_controller, alors je peux me connecter et effectuer toutes les requêtes GET, mais à la toute première requête POST, Rails réinitialise la session, ce qui me déconnecte. J'ai protect_from_forgerydésactivé temporairement l' option, mais j'aimerais l'utiliser avec Angular.js. Y a-t-il un moyen de faire cela?

129 ruby-on-rails angularjs csrf protect-from-forgery

2

Jeton CSRF nécessaire lors de l'utilisation de l'authentification sans état (= sans session)?

Est-il nécessaire d'utiliser la protection CSRF lorsque l'application repose sur l'authentification sans état (en utilisant quelque chose comme HMAC)? Exemple: Nous avons une seule application de la page (sinon nous devons ajouter le jeton sur chaque lien: <a href="...?token=xyz">...</a>. L'utilisateur s'authentifie en utilisant POST /auth. En cas d'authentification réussie, le …

125 authentication csrf single-page-application stateless csrf-protection

12

Django Rest Framework supprimer csrf

Je sais qu'il y a des réponses concernant Django Rest Framework, mais je n'ai pas trouvé de solution à mon problème. J'ai une application qui a une authentification et des fonctionnalités. J'y ai ajouté une nouvelle application, qui utilise Django Rest Framework. Je souhaite utiliser la bibliothèque uniquement dans cette …

112 django django-rest-framework csrf django-csrf

18

"La page a expiré en raison d'une inactivité" - Laravel 5.5

Ma page d'enregistrement affiche correctement le formulaire avec CsrfToken ( {{ csrf_field() }}) présent dans le formulaire). Formulaire HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> J'utilise l'authentification intégrée pour les utilisateurs. N'ont rien changé sauf les itinéraires et les redirections. Lorsque je soumets …

111 php laravel csrf laravel-5.5

3

Désactiver le jeton CSRF dans les rails 3

J'ai une application de rails qui sert certaines API à une application iPhone. Je veux pouvoir simplement publier sur une ressource sans me soucier d'obtenir le bon jeton CSRF. J'ai essayé certaines méthodes que je vois ici dans stackoverflow mais il semble qu'elles ne fonctionnent plus sur les rails 3. …

105 ruby-on-rails-3 csrf

2

Protection CSRF avec en-tête CORS Origin et jeton CSRF

Cette question concerne uniquement la protection contre les attaques de falsification de requêtes intersites. Il s'agit spécifiquement de: La protection via l'en-tête d'origine (CORS) est-elle aussi bonne que la protection via un jeton CSRF? Exemple: Alice est connectée (à l'aide d'un cookie) avec son navigateur à " https://example.com ". Je …

103 javascript security cors csrf

Questions marquées «csrf»