问题标签 [csrf-protection]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
29124 浏览

javascript - jQuery + AJAX + Django = CSRF ?

可能重复:
在 Django 中通过 AJAX 发布参数时出现“CSRF 令牌丢失或不正确”

我想通过 AJAX 发送登录数据来验证用户,但由于 CSRF,这是不可能的。你能告诉我要在我的代码中添加什么以使其正常工作吗?

我的 JavaScript 文件:

0 投票
1 回答
271 浏览

zend-framework - 将 csrf 添加到表单中是否存在根本性错误?

如果用户打开两个同类型的表单,一个会出现 csrf 错误,

我自己是一个多才多艺、多任务处理的机器人,绝对的野兽习惯于打开多个标签并以疯狂的方式做事,csrf 检查将我变成了一个正常人。

关于这个还能做什么?

抱歉,忘了说这是关于 zend 框架的 csrf 元素

0 投票
1 回答
305 浏览

ruby-on-rails-3.1 - Rails CSFR 保护:写 before_filter 是否正确?

我的应用程序控制器如下所示:

如果没有 check_csrf,Rails 会在错误响应时向服务器控制台写入警告,然后像往常一样继续执行。所以我不得不编写自己的 check_csrf。现在它工作正常。这是正确的吗?有没有更简单的方法来停止执行错误请求?

导轨版本:3.1。

0 投票
0 回答
407 浏览

tomcat - Tomcat 6.0.35 CrsfPreventionFilter 的过滤器映射

我正在尝试将 Apache Tomcat 的 [6.0.35] 跨站点防护过滤器引入现有的 Web 应用程序。

我已经通过添加 and 标记修改了 web.xml,并且我可以使用 mapping 使应用程序按预期进行部署和运行<url-pattern>*.jsp</url-pattern>

但是,如果我使用<url-pattern>/*</url-pattern>or的映射<servlet-name>foo</servlet-name>,过滤器显然对映射的请求是活动的,但它拒绝对初始化入口点以外的任何资源的请求,即使当前 nonce 在 request 中传递也是如此。即响应是403/禁止。

建议任何人?

0 投票
1 回答
738 浏览

ajax - Django中的Ajax调用失败

我有以下 ajax 调用来更新模型的特定字段

我的看法是这样的

我不断收到一条错误消息,我不知道如何解决这个问题。csrf_exempt如果问题是由丢失引起的,我什至使用装饰器来解决问题,csrf token但问题仍然存在。

除了ajax post在我的base模板中所有 ajax 调用都失败的那个。任何人都可以帮助了解这里发生的事情。如果需要,我可以提供更多细节。

编辑:

我在基本模板中添加了js包含此https://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax的文件,因此这意味着它存在于我的所有模板中。我正在使用 django 1.3 版本。

0 投票
2 回答
14689 浏览

security - JSF 2.0 如何防止 CSRF

我正在研究我经常听到的东西,当你在 JSF 2.0 中做一个 webapp 时,你已经受到保护,免受跨站 - 脚本和 - 请求伪造。SO帖子的以下摘录证实了这一点:

在 JSF 2.0 中,这已通过使用长而强大的自动生成值而不是相当可预测的序列值来改进,从而使其成为一种强大的 CSRF 预防措施。

有人可以提供更多细节吗?这个自动生成的值如何防止 CSRF?谢谢!

0 投票
2 回答
4435 浏览

asp.net-mvc - AntiForgeryToken 登录后无效

我有一个表格,用户无需登录即可发布。但是,如果他的电子邮件被识别,则需要密码。密码表单通过 Ajax 验证,如果成功,则提交主表单。两种形式都需要有效的 AntiForgeryToken。

问题是,作为副产品的密码检查也会让用户登录(来自客户端的要求)。这会使令牌无效,并且无法发送主表单。

我已经尝试以编程方式生成一个新令牌,但我无法让它工作。

关于如何解决这个问题的任何想法?

最终解决方案

我发现这个问题有助于输入反思。然而,这也是为什么在正常情况下你会避免破解内部类型的主要原因,是这些类型在版本之间的程序集之间进行了很多处理。正如 Betty 建议的那样,使用 ILSpy 查找内容。

这是最终代码。

升级网页 2.0

0 投票
1 回答
2821 浏览

ruby-on-rails - 在 Rails 中使用 HTTP GET 请求进行 CSRF 保护

我知道 Rails 默认情况下对请求没有CSRF保护HTTP GET,因为它声称它们是幂等的。但是,这些 GET 请求会返回给用户的敏感信息,我不希望恶意站点检索此信息。

在 Rails中保护HTTP GET请求的最佳方法是什么?CSRF

0 投票
4 回答
12394 浏览

testing - 在测试中获取 CSRF 令牌

我正在编写功能测试,我需要发出 ajax 发布请求。“CSRF 令牌无效。请尝试重新提交表单”。如何在我的功能测试中获得令牌?

0 投票
2 回答
1434 浏览

ruby-on-rails - SwfUpload 上传图片时出现 302 错误

我正在使用带有回形针的 swfUpload 插件,它使用 Flash 上传图像,但是当我按下

上传按钮它给了我这个错误,图像没有上传,也没有保存在数据库中。它显示了这个错误。

alexa's-lace-waist-yoga-pants-size4.jpg //这是我上传的图片

上传错误:302 //这是错误

任何有用的帮助将不胜感激。

这是日志输出

在 2012-03-14 02:19:34 -0400 为 202.154.225.30 开始 POST "/admin/images/create_banner_image"腰瑜伽裤大小4.jpg”,“文件数据”=>#>,“上传”=>“提交查询”}警告:无法验证CSRF令牌真实性已完成401未经授权在42毫秒内

现在请回答@shinghara