问题标签 [csrf-token]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
django - 基于函数的视图在 Django 1.11.5 中的 CSRF 验证失败
我正在通过创建一个博客站点来学习 Django。但是当尝试使用基于函数的视图创建帖子时,CSRF 验证失败。
使用csrf_exempt装饰器我可以创建没有错误的帖子。但是为了安全需要使用 CSRF 保护,有人可以帮忙解决吗?
视图.py
创建.html
angularjs - 如果刷新(JWT)令牌未经授权(401响应),AngularJS重定向到登录
如果刷新(jwt)令牌未经授权(在第一个令牌过期后),我将面临将用户重定向到登录页面的问题。代币未授权有两种情况;
第一个:当 jwt 令牌基于 401 响应过期时,调用新的刷新服务以通过 $http-interceptors (config) 生成新令牌。
第二:当刷新令牌也得到未经授权的(401)响应时,这是用户应该重定向到登录页面的时候。
我能够在第一种情况下发送刷新令牌并且它按预期工作正常,但如果刷新令牌也得到未经授权的(401)响应,我无法将用户重定向到登录页面。
这是我的代码;
authInterceptor.service.js
在配置(app.js)中
在service和config中,我都尝试实现基于双 401 重定向用户(平均刷新令牌也会过期并以 401 响应)。
我也尝试了多个后代 401 条件,但效果不佳。(下面的例子)
根据上面的代码,请指导我做错了什么,或者登录/实现可能有问题。无论哪种情况,请帮助我。谢谢
symfony - 有什么方法可以强制在 symfony 的登录表单中设置 CSRF 令牌
显然,我想强制在登录表单中设置 CSRF 令牌。假设我没有在登录表单中添加 CSRF 令牌并且我已经提交了表单。此时,我的请求是,响应必须返回为拒绝,这样我就没有添加 CSRF 令牌。
我该怎么做,或者我可以这样做吗?
c# - C# 使用 CSRF 令牌调用 API 端点不起作用
我需要通过调用需要 CSRF 令牌的 API 端点来开发一个在 HPOO 软件中触发执行的 .NET 作业。
在开始编码之前,我在 Postman 中测试了场景:
- 仅使用基本身份验证调用普通 GET 端点
- 取回 CSRF 令牌
- 然后最后调用一个 POST API,将基本身份验证与 CSRF 令牌一起传递。
当我在 Postman 中进行这些测试时,一切都按预期工作。
当我尝试在代码中实现相同的场景时,程序会在调用 POST 端点(传递令牌)时阻塞。
按照我下面的代码:
在我的代码调用方法的那一刻GetResponse(),request2我得到一个异常,说我被禁止访问(403)。
我也尝试使用HttpClient库,但我得到了同样的错误,指定我忘记了 CSRF 令牌。
我已经尝试过的一些事情没有奏效:
- 在第一个请求中创建了一个新
CookieContainer的 cookie,并传递给 request2。 - 删除了 CSRF 标头,仅 cookie。
- 删除了 cookie,只传递了标题。
- 移除 CSRF 标头,仅传递 CSRF 查询和 cookie。
- 删除了基本身份验证,仅传递 CSRF 标头和 cookie。
拜托,有人可以帮助我吗?对不起我的英语不好,巴西人在这里......
ajax - Django:如何使用 Ajax 发送 csrf_token
我在 jQuery 函数中有我的 Ajax:
btnApplyConfig.js:
我的 Django 视图:
所有数据都被正确处理,对我来说唯一的问题是我收到以下错误:
为了检查 vars 是否正确发送,我已经放置了一些打印件,是的。我怎么能处理它?我检查了一些教程,但到目前为止我找不到解决方案。
python - 为什么在 Set-Cookie 标头字段中找不到 CSRF 令牌?
我有一个 Django Rest-framework APIView 类,如下所示:
当我通过邮递员发送 get 请求时,邮递员的 cookie 部分中有一个 csrf 令牌,但问题是在收到的头文件中没有 Set-Cookie 字段供我从中获取 gram csrftoken。
javascript - 赛普拉斯削减“X-CSRFToken”标头
注意到 Cypress 测试运行程序正在X-CSRFToken从请求标头中删除,这导致请求返回403 Forbidden。这是手动运行和赛普拉斯测试运行的标题截图,
在 Chrome 浏览器中导航时截取的屏幕截图:
运行 Cypress 测试时截取的屏幕截图:
为了确认这一点,我通过curl附加X-CSRFToken. 那时它工作得很好。在运行赛普拉斯测试时我该如何处理?
注意:trigger()这发生在使用函数执行拖放事件时
django - 基于 django 类的视图是否继承 method_decorators?
我正在使用基于 django 类的视图。假设有一个这样的 ListView:
如果另一个基于类的视图继承了 SomeView,它是否也继承了“ensure_csrf_cookie”?还是必须在每个子类上明确定义?
angular - 如何使用 HttpClientXsrfModule angular 6 添加 x-xsrf-token
我正在使用JWT令牌进行身份验证并将其存储在本地存储中,现在想CSRF用它添加令牌,是否可以CSRF仅以角度激活?
作为 JWT 令牌生成,是否可以CSRF随机生成并存储它?
我正在尝试类似下面的东西
身份验证.service.ts
auth.interceptor.ts
app.module.ts
asp.net-core - ASP.Net 核心防伪拒绝从 Iframe 提交表单
我有一个 asp.net 核心应用程序。应用程序的一种形式嵌入在不同应用程序的 iframe 中,在不同的应用程序上运行。在我的配置中,我抑制了相同的原始X-Frame标头,因此我可以将表单提交到 iframe。
但是,当我通过 iframe 提交表单时,我收到一个错误的请求错误,尽管我可以看到 CSRF 令牌已正确发送。如果我删除
来自控制器操作的属性我可以通过 iframe 提交表单。我究竟做错了什么?