问题标签 [csrf-protection]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
5 回答
41562 浏览

angularjs - 如何使用 Laravel API 在 AngularJS 表单中发送 csrf_token()?

我正在尝试构建一个 angular + laravel rest 应用程序。我可以获得我的数据库的视图。当我尝试添加新项目时。我500 error告诉我不匹配的 csrf 令牌。我的表单布局是:

这就是我尝试将项目添加到数据库的方式:

这是我用于我的应用程序的过滤器:

在我的刀片视图中,我使用它并且它有效:

使用 html 表单时如何发送 csrf_token?

谢谢

编辑 1:像这样向 post 请求添加标头不会产生错误。

0 投票
1 回答
76 浏览

rack - 这个 Rack::Protection::FormToken 什么时候是安全问题?

Rack::Protection::FormToken的标题注释说:

谁能描述这个中间件何时成为安全问题的例子?

0 投票
1 回答
803 浏览

yii - 未在子域中创建 Csrf 令牌

我在 Yii 框架上运行的项目上激活了 csrf 保护。当基本域像“www.example.com”一样运行时,正在创建 Csrf 令牌。但是当子域像“admin.example.com”一样运行时,它不会被创建。

配置:

我的代码有什么问题还是与服务器有关?

0 投票
5 回答
11061 浏览

php - laravel 4:为什么 Request::header() 没有得到指定的标头?

我正在尝试通过以下方式获取标头值:

Request::header('csrf_token')

不过,我的萤火虫在标题中说我将 csrf_token 设置为baMDpF0yrfRerkdihFack1Sa9cchUk8qBzm0hK0C. 事实上,我可以csrf_token用原生 php 代码来代替:

getallheaders()['csrf_token']

现在的问题是我在做我的 XSRF 保护吗?或者我做的那个 php 代码有一个缺陷,我真的必须使用有问题的 laravel 4 函数

Request::header('csrf_token')

它只返回空白。我只是错过了一些东西。也许在我的 Laravel 4 配置中,等等?

PS:我正在使用 AngularJS,但也许我使用什么客户端并不重要。我有这个链接作为我的指南:How to send csrf_token() inside AngularJS form using Laravel API?

0 投票
1 回答
783 浏览

php - CSRF PHP 预防机制

我读过很多关于 CSRF 的文章,几乎所有文章都有相同的解决方案,即隐藏令牌,所以我写了一个代码来防止 CSRF,然后我尝试破解我自己的页面,但它没有用,我想知道是否我的代码是 CSRF 防弹的,如果有的话。

我有四个页面,其中包含表格,因此在每个页面中我会写以下内容:

这种方法是否足以阻止攻击者在我的网站上使用 CSRF?

非常感谢。

0 投票
3 回答
1404 浏览

security - 如何处理登录页面的 CRSF 令牌?

我最近在登录页面和 CSRF 令牌方面遇到了一个有趣的问题。我想确保登录表单 POST 使用 CSRF 令牌进行保护,但是,当/如果用户长时间留在登录页面上时,他/她的会话将过期并且 CRSF 令牌将变为无效。关于如何避免这个问题的任何建议?我正在考虑不为登录页面使用 CRSF 令牌,但这似乎是一种不好的做法。

0 投票
0 回答
87 浏览

java - JSF Morjarra 2.1.3 能防止 CSRF 攻击吗?

我似乎在网上研究时收到了混杂的信息。阅读本文后:JSF 2.0 如何防止 CSRF

似乎在 JSF2.0 和 2.1 中有一级 CSRF 保护(仅限 web.xml)

似乎 JSF2.2 有两个级别的 CSRF 保护。(web.xml 和 faces-config 更改)

对于 JSF2.x,我可以将其添加到 web.xml。

或使用默认 this 到 web.xml:

我的问题是 Morjarra 2.1.3 是否使用这两种设置之一(哪一种)防止 CSRF 攻击?

我了解 JSF 2.2 CSRF 可以通过将以下代码添加到 faces-config.xml 文件中来更明确地使用此设置:

0 投票
1 回答
2793 浏览

php - CodeIgniter 2,Ion Auth 在配置文件编辑时给出 CSRF 错误消息

我一直在使用带有Ion Auth的 CodeIgniter 2.1.4 版已经有一段时间了,一切都很好。昨天,我将 Ion Auth 更新到了最新版本,现在每当我尝试“编辑”任何用户配置文件时都会收到 CSRF 错误。

“这个表格帖子没有通过我们的安全检查。”

controllers/auth.php修改文件以便将各种 Ion Auth 视图加载到我自己的模板中后,我收到此错误。毕竟,如果我不能将它整合到我的网站设计中,这有什么好处。 但是,即使auth.php控制器根本没有修改,我也会在旧版本的 Safari 中收到此错误。

auth.php这是我对控制器文件的简单修改。

替换了这一行:

有了这条线:

是的,我的load函数(在Template.php位于 的文件中/libraries/)从一开始(几个月前)就一直运行良好。即使使用新版本的 Ion Auth,我的模板加载功能也可以正常工作……但是,如上所述,我只是不断收到安全错误。


经过一番研究,错误的原因是 Ion Auth 的 CSRF 安全例程。这两个函数在整个auth.php控制器中被调用,并在_valid_csrf_nonce()函数返回时显示上面的错误false


作为临时(或永久?)解决方法,我在 CodeIgniterconfig/config.php文件的第 298 行启用了“CSRF 保护”选项。

true然后我通过始终从函数返回来抑制 Ion Auth 中的 CSRF 保护。


但是,我真的很想了解这里的根本原因。为什么我只是通过使用较旧的浏览器或尝试将 Ion Auth 视图放在我自己的模板中而得到所有这些 CSRF 错误?一切都在使用相同域的同一台服务器上。

(编辑:是的,CIsession库正在自动加载,显然工作正常。毕竟我可以保持登录状态。)

0 投票
1 回答
836 浏览

php - csrf_protection false 选项在创建表单时不起作用

我按照这个例子禁用了我的actionController中生成的表单的csrf保护: http ://www.craftitonline.com/2011/08/symfony-2-how-to-disable-csrf-on-a-per-form-b​​asis /

所以我有这个动作:

在我的树枝上:

但 form_errors 总是返回错误:

CSRF 令牌无效。请尝试重新提交表单。

在我的树枝视图中,邮件尚未发送...

如果问题不存在,我使用命令 cache:clear 进行了验证,但是不,这不是缓存问题。

任何想法 ?

感谢您的帮助 :)

编辑:

好的,我解决了我最初的问题:

form_rest(form) 用于隐藏输入。

但是关闭了csrf,我不需要devrasi envoir,对吗?

0 投票
5 回答
2669 浏览

php - CSRF Token 多标签问题

我在我的网站上的每个发布方法上都实现了 CSRF 令牌。但是当我在不同的选项卡中访问我的网页时,令牌在页面和令牌不匹配上都会发生变化。我的令牌存储在 DOM 中,我正在使用 SESSION 匹配令牌。如何解决这个问题。?