问题标签 [x-xsrf-token]

解码后：

我试图阻止这种解码.. 无法显示 iv 、 value 和 mac ... 任何人都可以帮忙吗？

这似乎只是一种随意的重复，但我认为它一定有某种意义。否则为什么不分别称它们为“XSS-Protection”和“XSRF-TOKEN”？如果我知道答案，关于命名约定是否有一些经验法则的问题大概也会自己回答......

我目前正在世博会中制作一个应用程序，用于跟踪您的账单何时到期以及这些账单的金额。登录这些公司网站以获取数据至关重要，但其中一些网站使用 XSRF 令牌作为 cookie 发送。我尝试过使用强硬的cookie 和request-promise，但没有成功。我认为这些库中的任何一个都不与 expo 兼容。我想知道是否有人有办法在世博会上获取 cookie。

我正在尝试使用键入的 httpclient 使用 GetAsync 和 PostAsync 合并一个编辑表单页面。除了我的代码不使用 ValidateAntiForgeryToken 调用 API 操作外，一切正常。大多数在线示例都没有解决 httpclientfactory 使用的 httpcontent，而是使用 httpresponse。我知道我的请求中缺少防伪令牌。如何将其附加到请求标头？如何从视图中检索它？我想尽可能少地使用 Javascript。这是我的 Post 请求服务的片段。编辑：对于它的价值，我的 api 是 dot net core 而客户端是 dot net core mvc。

我看不到 Spring Security 提供的 XSRF 令牌。我的 XSRF 已启用并且工作正常，因为它为 POST 请求（没有令牌）提供了禁止错误，但不知何故我无法在 GET 请求期间获取令牌。我被困住了。

我们有一个针对 ASP.net Core API 服务器的 Angular SPA。

根据有关主题的 ms文档，为 API 设置 XSRF 保护。

他们建议使用操作过滤器机制设置 XSRF 令牌的验证。

授权过滤器不是更合适吗？

在 .net Core 中，我们使用 IAntiforgery 配置防伪功能以及 [ValidateAntiForgeryToken] 或 AutoValidateAntiforgeryToken 来防止跨站点请求伪造 (XSRF/CSRF) 攻击。

要在中间件中配置防伪功能，我们使用

微软文档链接

现在我的问题是如果我们设置new CookieOptions { HttpOnly = True });那么我们需要在服务器端和客户端做哪些改变

由于 XSRF 验证涉及将 UI 请求中发送的 cookie/token 与作为同一请求的一部分的请求标头进行匹配，因此在本地进行测试的选项有哪些？因此，假设我在本地运行我的 UI，并且指向托管在不同位置的服务器，则 cookie 将永远无法在 localhost 上读取（因为它是不同的主机）。在这种情况下，最佳实践是什么 - 它是否在服务器上添加逻辑来识别 Origin 并绕过检查 Origin 是否为 localhost ？

我们在项目中使用 Asp .NET core 5.0 API 后端创建 Angular12 SPA。在这里，我们实现了用于验证的防伪 XSRF/CSRF 令牌。

XSRF 令牌通过添加请求标头来发送令牌和验证来工作。

为什么 XSRF 令牌也不适用于 HTML？（隐藏的 __RequestVerificationToken 值）

启动.cs

我正在使用 Python Requests 库，并且有一个自动重定向的请求，除非我禁用重定向。我需要从 response.text 获取响应 cookie 和跨站点请求伪造令牌 (xsrf)。这样做的原因是我需要在后续请求中同时使用这两者。我可以通过设置 allow_redirect=false 轻松获取响应 cookie。这样做的问题是这样做我也不能从同一个请求中获取 xsrf 令牌。

我已经尝试过这个示例（Python Requests : How to get response cookie from 302 redirect），但它不起作用（它无法同时获取 cookie 和 xsrf 令牌），因为我认为您需要获取响应 cookie 以及xrsf 令牌仅使用一个请求。

有没有办法在重定向（302）发生之前获取响应cookie而不设置allow_redirect = false，这样您也可以仅使用1个请求获取xsrf令牌？