J'écris une application (Django, ça arrive) et je veux juste une idée de ce qu'est réellement un "token CSRF" et comment il protège les données. Les données de publication ne sont-elles pas sûres si vous n'utilisez pas de jetons CSRF?
J'essaie de comprendre tout le problème du CSRF et les moyens appropriés de le prévenir. (Ressources que j'ai lues, comprises et approuvées: Aide-mémoire sur la prévention de la CSRF de l'OWASP , Questions sur la CSRF .) Si je comprends bien, la vulnérabilité autour de CSRF est introduite par l'hypothèse …
J'envoie des données de la vue au contrôleur avec AJAX et j'ai eu cette erreur: AVERTISSEMENT: impossible de vérifier l'authenticité du jeton CSRF Je pense que je dois envoyer ce jeton avec des données. Est-ce que quelqu'un sait comment faire cela? Edit: Ma solution J'ai fait cela en mettant le …
J'ai mis en œuvre dans mon application l'atténuation des attaques CSRF suite aux informations que j'ai lues sur certains articles de blog sur Internet. En particulier, ces postes ont été le moteur de ma mise en œuvre Meilleures pratiques pour ASP.NET MVC de l'équipe de contenu pour les développeurs ASP.NET …
Je pourrais utiliser un peu d'aide pour me conformer au mécanisme de protection CSRF de Django via mon article AJAX. J'ai suivi les instructions ici: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ J'ai copié exactement l'exemple de code AJAX qu'ils ont sur cette page: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax J'ai mis une alerte imprimant le contenu de getCookie('csrftoken')avant l' xhr.setRequestHeaderappel …
J'ai des problèmes avec l'AntiForgeryToken avec ajax. J'utilise ASP.NET MVC 3. J'ai essayé la solution dans les appels jQuery Ajax et le Html.AntiForgeryToken () . En utilisant cette solution, le jeton est maintenant passé: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: …
D'après ce que j'ai appris jusqu'à présent, le but des jetons est d'empêcher un attaquant de falsifier une soumission de formulaire. Par exemple, si un site Web avait un formulaire qui saisissait des articles ajoutés à votre panier, et qu'un attaquant pourrait spammer votre panier avec des articles que vous …
Je connais l'authentification basée sur les cookies. Les indicateurs SSL et HttpOnly peuvent être appliqués pour protéger l'authentification basée sur les cookies contre MITM et XSS. Cependant, des mesures plus spéciales seront nécessaires afin de le protéger du CSRF. Ils sont juste un peu compliqués. ( référence ) Récemment, j'ai …
J'ai vu des articles et des messages partout (y compris SO) sur ce sujet, et le commentaire dominant est que la politique de même origine empêche un formulaire POST entre les domaines. Le seul endroit où j'ai vu quelqu'un suggérer que la politique de même origine ne s'applique pas aux …
Si l' protect_from_forgeryoption est mentionnée dans application_controller, alors je peux me connecter et effectuer toutes les requêtes GET, mais à la toute première requête POST, Rails réinitialise la session, ce qui me déconnecte. J'ai protect_from_forgerydésactivé temporairement l' option, mais j'aimerais l'utiliser avec Angular.js. Y a-t-il un moyen de faire cela?
Est-il nécessaire d'utiliser la protection CSRF lorsque l'application repose sur l'authentification sans état (en utilisant quelque chose comme HMAC)? Exemple: Nous avons une seule application de la page (sinon nous devons ajouter le jeton sur chaque lien: <a href="...?token=xyz">...</a>. L'utilisateur s'authentifie en utilisant POST /auth. En cas d'authentification réussie, le …
Je sais qu'il y a des réponses concernant Django Rest Framework, mais je n'ai pas trouvé de solution à mon problème. J'ai une application qui a une authentification et des fonctionnalités. J'y ai ajouté une nouvelle application, qui utilise Django Rest Framework. Je souhaite utiliser la bibliothèque uniquement dans cette …
Ma page d'enregistrement affiche correctement le formulaire avec CsrfToken ( {{ csrf_field() }}) présent dans le formulaire). Formulaire HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> J'utilise l'authentification intégrée pour les utilisateurs. N'ont rien changé sauf les itinéraires et les redirections. Lorsque je soumets …
J'ai une application de rails qui sert certaines API à une application iPhone. Je veux pouvoir simplement publier sur une ressource sans me soucier d'obtenir le bon jeton CSRF. J'ai essayé certaines méthodes que je vois ici dans stackoverflow mais il semble qu'elles ne fonctionnent plus sur les rails 3. …
Cette question concerne uniquement la protection contre les attaques de falsification de requêtes intersites. Il s'agit spécifiquement de: La protection via l'en-tête d'origine (CORS) est-elle aussi bonne que la protection via un jeton CSRF? Exemple: Alice est connectée (à l'aide d'un cookie) avec son navigateur à " https://example.com ". Je …
We use cookies and other tracking technologies to improve your browsing experience on our website,
to show you personalized content and targeted ads, to analyze our website traffic,
and to understand where our visitors are coming from.
By continuing, you consent to our use of cookies and other tracking technologies and
affirm you're at least 16 years old or have consent from a parent or guardian.