为什么不在GET apis中加入CSRF保护?
在GET APIs中不加入CSRF保护的原因是因为GET请求应该是幂等的,即多次相同的GET请求对服务器的状态不应该有任何影响。CSRF(Cross-Site Request Forgery)攻击是指攻击者利用受害者在已登录的情况下,通过伪造请求来执行非法操作,而GET请求通常是用于获取资源或数据,不会对服务器状态进行修改,因此不太容易受到CSRF攻击。
CSRF保护通常是通过在请求中添加一个随机生成的token来实现的,服务器会验证该token是否合法。然而,在GET请求中添加CSRF保护可能会导致一些问题:
- 缓存问题:GET请求通常可以被缓存,如果每次请求都包含一个随机的token,那么该请求就不能被缓存,会降低性能。
- 链接共享问题:GET请求的参数通常可以通过链接进行分享,如果每次请求都包含一个token,那么链接就会包含一个唯一的token,这样就无法分享链接。
- 简化请求问题:GET请求通常可以通过简单的URL进行发送,如果每次请求都需要包含一个token,就会增加请求的复杂性。
综上所述,由于GET请求通常是幂等的,不会对服务器状态产生影响,因此在GET APIs中不加入CSRF保护是合理的。然而,对于涉及到修改服务器状态的请求,如POST、PUT、DELETE等,应该始终加入CSRF保护来防止CSRF攻击的发生。
相关·内容
3回答
我对django中的CSRF保护一无所知。例如,我们有一些恶意网站。从这个站点发送get-request到csrf保护的url,解析页面并获取CSRF值,然后用这个值发布,有什么问题吗?
浏览 0提问于2012-06-27得票数 2
为什么csrf cookie在将POST请求发送到localhost:8000时设置,而在发送POST请求127.0.0.1:8000时没有设置?Django然后抱怨没有设置CSRF cookie。(假设我使用localhost:3000打开前端,那么在使用127.0.0.1:3000打开前端脚本时也会出现同样的现象,但这次POST请求只通过127.0.0.1:8000)。基本上,我对如何配置东西感兴趣,以便以后能够为来自两个不同域的前端(在我的情况下是React)和后端(Django)服务。目前,我没有登录功能等,所以CSRF保护没有任何意义。然而,我感兴趣的是,为什么在当前的配置下,我无法
浏览 6提问于2022-05-20得票数 0
我在React Native中发送了以下请求: const getData = async (cookie) => {
const resp = await fetch('/some_info');
const data = await resp.json();
console.log(data)
} 如你所见,我故意没有添加适当的标题: headers: {
'X-CSRF-TOKEN':value,
} 因为我想验证GET请求在没有它的情况下是否会失败。 以下是我的配置:
浏览 38提问于2021-02-11得票数 0
1回答
对于应用程序的API部分,我使用的是Flask 0.17和Flask。在应用程序的前端,我使用的是水瓶WTF和它的CSRF保护。
这造成了问题,因为WTF希望在每个视图上都有一个CSRF令牌。我能够通过豁免API的蓝图来绕过我创建的端点,但无法知道如何将其应用于Flask创建的/auth URL。
API初始化:
def init_app(app):
def authenticate(username, password):
user = User.query.filter_by(username=username).scalar()
if user a
浏览 2提问于2016-06-03得票数 2
回答已采纳
我想做什么?
我试图使用fetch API将带有数据的post请求发送到Django视图,如下所示:
javascript:
const data = {
search_text: "",
months: 6,
property_type: "all"
};
const headers = {
'Accept': 'application/json',
'Content-Type':'application/json',
'X-Requested-With
浏览 8提问于2022-01-06得票数 -1
回答已采纳
查看的文档,似乎没有一种方法将特定的表单/url标记为不需要CSRF保护。我有一个网站,通常我希望启用CSRF,但是有一个公共页面,它有一个表单,人们很可能会因为服务器重新启动之间的CSRF报头而导致书签和错误。有什么方法可以在一个表单/URL上禁用CSRF保护吗?
编辑i使用security WebVersion3.2.7 version
浏览 3提问于2015-10-19得票数 0
2回答
文档中有一个解释,但我还有一些额外的问题。
为什么需要专用的CSRF cookie?
如果Django不使用特定于事务的随机数,为什么不要求在POST请求主体中嵌入会话ID呢?
为什么CSRF随机数要绑定到会话ID?Django会这样做吗?
似乎暗示CSRF现时值需要绑定到会话ID (例如,CSRF现时值=会话ID的键控散列)。为什么会这样呢?Django是否将其CSRF nonce绑定到会话ID?
为什么Django使用独立于会话的随机数而不是特定于事务的随机数?
是否出于性能方面的考虑?直观地说,特定于事务的随机数本质上似乎更安全。
浏览 0提问于2011-05-20得票数 7
回答已采纳
2回答
我的一些基于Security的项目公开了一个RESTful API,该API支持所有HTTP谓词: GET、POST、PUT、修补程序、DELETE等等。对于那些只使用GET和POST的项目,一切都如预期的那样工作。然而,在使用PUT时,我遇到CSRF保护问题,这通常会导致我禁用CSRF保护。
我的主要问题是,“为什么Spring Security对待PUT和POST的方式不同?”
我的第二个问题是,“考虑到我的项目确实是无状态的,不使用cookie并需要有效的OAuth2承载令牌,禁用CSRF保护是一个真正的问题吗?”
我还具有二级保护,以验证OAuth2令牌的承载者被授权执行所请求的操作。
浏览 0提问于2020-09-17得票数 0
回答已采纳
1回答
目前,我的架构如下。
API是从api.domain.com提供的。
前端应用程序是从frontend.domain.com提供的。
我想出两种不同的保护CSRF的方法:
允许前端在第一次加载后通过向api.domain.com/getCSRF发出请求来获取CSRF令牌。
在我的api.domain.com上启用CORS,并且只允许来自frontend.domain.com的请求。
我发现一个主要的网站使用我的第一种方法来获得CSRF令牌,但我不认为这是一个好方法。我的哪一种方法更适合于CSRF的保护?
浏览 0提问于2018-04-04得票数 0
回答已采纳
我有编辑用户形式的error_csrf,当调用函数Ajax下降到乡村州和城市。我也犯了同样的错误:
$config['csrf_protection'] = FALSE;
和
$config['csrf_protection'] = TRUE;
$config['csrf_token_name'] = 'csrf_test_name';
$config['csrf_cookie_name'] = 'csrf_cookie_name';
$config['csrf_expire'] =
浏览 3提问于2017-10-15得票数 1
回答已采纳
class ApplicationController < ActionController::Base
# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.
protect_from_forgery with: :null_session
rescue_from ActiveRecord::RecordNotFound, :with => record_not_found #spazzing out
def
浏览 4提问于2013-12-20得票数 0
回答已采纳
我在我的SPA项目中使用了laravel airlock auth。
根据文档,在中登录时需要以下代码:
axios.get('/airlock/csrf-cookie').then(response => {
// Login...
});
但是,当我注释代码时,登录脚本仍然可以访问API控制器。
下面是我的代码:
// axios.get('/airlock/csrf-cookie').then(response => {
axios.post('api/login', {
email: this
浏览 0提问于2020-03-17得票数 0
我有一个带RelayToken过滤器的云网关路由后面的资源服务: routes:
- id: apis
uri: http://rest-app:8080/apis
predicates:
- Path=/apis/**
filters:
- TokenRelay= GET请求可以很好地工作,但在帖子中,我得到了包含CSRF Token has been associated to this client的响应主体,我尝试禁用CSRF保护,添加了Bean @
浏览 176提问于2020-04-01得票数 2
回答已采纳
在测试需要身份验证的APIViews时,我遇到了麻烦。我想测试CSRF和身份验证+权限是否都按预期执行。
关于我的设置的一些信息:
我的视图是一个Django Rest框架rest_framework.views.APIView,它实现了function.Default身份验证类是SessionAuthenticationDefault权限类是IsAuthenticatedTest类使用APIClient发出请求的
当使用APIClient初始化enforce_csrf_checks=True时,当涉及到需要身份验证的视图(使用IsAuthenticated权限类)时,我仍然无法得到预期的响应
浏览 2提问于2020-10-10得票数 0
首先,这段代码可以工作,只是对于这么简单的东西来说,它并不像它应该的那样干净。 背景:我正在尝试在DRF中创建一个自定义登录API端点,该端点将由React前端使用。似乎你必须手动强制在DRF中发送csrf,所以这就是我所做的。 我不想发送Django表单,因为它看起来不像RESTful,但这是我能找到的避免这种情况的唯一方法。如果这是干净的代码,请让我知道。 Serializers.py from rest_framework import serializers
from django.contrib.auth import get_user_model # If used custom
浏览 22提问于2021-04-09得票数 0
我使用Laravel 5与CKEditor和在CMS中创建WYSIWYG编辑器。我已经启动并运行了文件浏览器,但我无法让文件上传工作。我有“上传”选项卡,但是当我单击“发送到服务器”时,会得到以下内容:
TokenMismatchException in VerifyCsrfToken.php line 46:
知道为什么会这样吗?
更新
我将verifyCsrf从Kernel.php中删除,后者专门删除了该错误。是的,抛出了一个新的异常,但我会把它留给将来的问题。最终,我不想为了图像上传而全面禁用csrf。所以我想我可以排除路线:
/app/Http/Middleware/VerifyCsr
浏览 9提问于2015-09-30得票数 0
回答已采纳
我在阅读CSRF的时候遇到了这个问题:
许多在线的人似乎也指出,不应该保护GET请求不受CSRF的影响。然而,我被其中的原因弄糊涂了。
如果你的GET请求包含敏感信息(比如用户的个人信息),那么你应该保护它不受CSRF的影响,对吧?否则,攻击者可能会窃取个人信息。
我知道您不应该在get URL中包含令牌,因为它们可能会被记录下来。但是,您不能只将它们包含在自定义标头中吗?
浏览 8提问于2016-08-29得票数 0
回答已采纳
1回答
在中,对于基于ajax的应用程序,可以通过HTML meta tag和cheking请求提供CSRF保护。
为什么需要这种方法,为什么不像往常一样检查ajax请求?我的意思是,如果ajax使用POST方法,那么发送CSRF令牌作为通常的参数(例如csrf_token),然后在服务器端签入(PHP):
if ( !isset($_POST['csrf_token']) OR $_POST['csrf_token'] !== $_SESSION['csrf_token'] ) {
// incorrect csrf token, stop p
浏览 10提问于2018-08-18得票数 0
等框架要求您将csrf令牌放在您的HTML中。
但是,与此同时,laravel默认使用VerifyCsrfToken中间件,该中间件在每个响应上都会自动创建带有csrf令牌的X-XSRF-TOKEN cookie。这个cookie用于ajax请求,例如,它是axios头部的。
我想知道为什么需要将csrf令牌添加到每个HTML表单中。为什么不能仅仅使用已经存在的X-XSRF-TOKEN cookie来验证csrf令牌。我知道存在同一个网站cookie的问题,如果您的csrf cookie设置为lax或none,那么cookie将从外部站点发送到我的站点。但是,这个问题可以通过将相同的站点设置为
浏览 22提问于2022-05-13得票数 1
回答已采纳
2回答
我的大部分GET请求都是由角触发的,这使得在标头中设置CSRF令牌变得很容易。这已经为POST请求提供了现成的服务,但是我想知道我是否也可以对GET请求使用CSRF保护。
我最初的直觉是在视图的get方法之前添加@csrf_protect,例如:
class ProjectView(View):
@csrf_protect
def get(self, request, *args, **kwargs):
...
但是,这会产生错误:
AttributeError at /project
'ProjectView' object has no at
浏览 4提问于2013-04-02得票数 1
回答已采纳
2回答
我在我的nodejs服务器上通过以下方式实现了CSRF攻击预防-
登录用户接收CSRF令牌和cookie (存储在cookie中的基于JWT的令牌)。CSRF令牌是使用$.ajaxSetup从客户端发送的所有未来请求头的一部分。
每当用户发出请求(GET或POST)时,我将客户机发送的cookie和csrf令牌(在标头中)与服务器上存储的标记进行比较,应用程序可以正常工作。
但是,当登录用户打开新的选项卡或新的浏览器窗口时,客户端有cookie,但请求头中没有CSRF令牌。因此,服务器将此视为CSRF攻击,并阻止请求!
我的问题是--在不损害CSRF安全性的情况下,如何让同一个会话在多个浏览器
浏览 8提问于2016-02-07得票数 3
回答已采纳
更新:现在回首一年多后,我给更新的希望,将帮助其他人。
Spring建议对普通用户可由浏览器处理的任何请求使用CSRF保护。如果您只创建非浏览器客户端使用的服务,则可能要禁用CSRF保护。因为我的应用程序是一个API,将由浏览器处理,所以禁用CSRF不是一种方法。
默认情况下,使用Spring启用CSRF,您需要添加以下代码来添加CSRF存储库和过滤器,以便将CSRF令牌添加到您的http请求中。(解决方案来自这里, )
@Override
protected void configure(HttpSecurity http) throws Exception {
http
浏览 13提问于2016-02-10得票数 32
2回答
我在一个使用Angular的网站上使用基于会话的CSRF。发出HTTP调用以请求CSRF令牌是否安全?
例如,如果我向一个名为/ CSRF /get的页面发送了一个具有有效用户会话的请求,并且它打印了一个原始令牌,那么这对于CSRF功能是否足够安全?如果没有,我可以做些什么来使它更安全,同时保持JSON检索功能?
它将是第一个api调用,在其他调用之前,我将把它保存在本地存储上,以便在每次http调用时使用它。
浏览 4提问于2018-09-11得票数 8
我试图在我的应用程序中实现Google Drive的使用,但我似乎得到了以下错误"Method 'get_Error' in type 'Google.Apis.Drive.v2.Data.FileList' from assembly 'Google.Apis.Drive.v2, Version=1.2.4647.29713, Culture=neutral, PublicKeyToken=null' does not have an implementation"。有人知道为什么会发生这种情况吗?我的代码基于Google为其任
浏览 3提问于2012-09-26得票数 1
回答已采纳
如何在Django中对get方法隐藏CSRF标记?当我们调用get方法时,只需要在浏览器URL中看到参数,而不是CSRF令牌。
浏览 27提问于2018-12-19得票数 1
是否有必要在GET查询中添加?
如果我将其添加到GET中,则链接将开始保持?csrfmiddlewaretoken= csrf_token
浏览 4提问于2016-03-30得票数 0
回答已采纳
我在我的AWS服务器上开发了一组apis。当我启动npm时,应用程序在aws localhost的特定端口上启动。我可以从我的终端窗口使用curl命令点击apis。例如:
curl -s -X GET \
"http://localhost:6001/getAssetDetails?assetId=1"\
-H "content-type: application/json"
如何使用安装在我主机上的postman从我的主机系统访问apis?
如何从windows主机的web浏览器访问AWS服务器的本地主机应用程序?我应该从我的主机点击哪个URL?
浏览 0提问于2018-10-05得票数 0
我陷入了一种奇怪的情况,我要登录到网站并尝试提交表单,如果我使用permission_classes = [AllowAny]或isAuthenticate类,我会得到错误CSRF Failed: CSRF token missing or incorrect。
在下面的场景中,它提供了一个弹出以输入密码和用户名。我的全班就像
class AddReview(APIView):
serializer_class = ReviewSerializer
authentication_classes = (BasicAuthentication,)
def post(self
浏览 0提问于2019-09-16得票数 1
回答已采纳
我已经在中使用了2.1.4版本的很长一段时间了,一切都很好。昨天,我更新了Ion的最新版本,现在每当我尝试“编辑”任何用户配置文件时,我都会得到一个CSRF错误。
“这个表格没有通过我们的安全检查。”
在修改controllers/auth.php文件以便将各种into视图加载到我自己的模板后,我得到了这个错误。毕竟,如果我不能将它集成到我的网站设计中,这有什么好处呢?不过,即使auth.php控制器根本没有修改,也会在较旧版本的Safari中出现此错误。
这是我对auth.php控制器文件的简单修改。
取代这一行:
$view_html = $this->load->vi
浏览 8提问于2013-10-31得票数 4
回答已采纳
有许多教程展示了如何禁用csrf,
csrf().disable()
(以及其他可能性,如.properties、.yml等)但是没有人解释他们为什么要这样做?
所以我的问题是:
现实生活中禁用它的原因是什么?
它能提高性能吗?
浏览 0提问于2018-09-17得票数 37
回答已采纳
1回答
在我的JWT经过身份验证的API中,我希望这些路径可以在没有任何身份验证的情况下访问,并且所有其他端点都不允许/禁用:
获取/apis/id/{id}
POST /apis
补丁/apis/id/{id}
删除/apis/id/{id}
获取/swagger-ui.html
如您所见,上面的大多数端点都以/apis/id开头,POST有/apis。以下是我的配置:
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
浏览 1提问于2018-10-02得票数 1
我使用的是play 2.2.2。我有如下形式的apis
/users?token=abcd
/users?resetToken=abcd
我已经将我的路由配置如下:
GET /users controllers.X.method(token: String)
GET /users controllers.Y.method(resetToken: String)
现在,当我调用/users?resetToken=tokenvalue时,我得到以下错误
For request 'GET /users?resetToken=tokenvalue' [Missing
浏览 2提问于2014-07-16得票数 0
我正在使用Ionic 2开发一个应用程序来登录到Laravel5.3服务器。当我从邮递员那里得到 CSRF令牌时,我看到CSRF令牌将永远不会改变,甚至不会改变我GET的次数(除非会话结束)。这样我就可以从邮递员登录,当用用户名和密码发布令牌时。但在我的Ionic 2应用程序中,每次我获得 CSRF令牌时,CSRF令牌都会更改为另一个。因此,CSRF验证总是返回错误。
我的GET从Laravel服务器返回CSRF令牌:
Route::get('api/csrf', function() {
return Session::token();
});
我的GET方法来自I
浏览 3提问于2017-07-09得票数 0
1回答
在GET请求时启用CSRF保护
、、、、
我想知道在应用程序的所有GET请求上有什么适当的方法来启用CSRF保护吗?目前,我已经在所有POST请求上使用javax.servlet.Filter实现了它,然后在JSP的POST方法隐藏字段中启用了它,比如这个<input type="hidden" name="csrf-token" value="${my_csrf_token}" />。
对GET请求也做了同样的操作,将令牌附加到如下参数
$.ajax({
url: "${pageContext.request.contextPath}
浏览 4提问于2022-09-29得票数 0
2回答
我有这张表格,我正在张贴,我把我的csrf令牌像这样
控制器方法
$csrf = array(
'name' => $this->security->get_csrf_token_name(),
'hash' => $this->security->get_csrf_hash()
);
像这样传递到视图
<input type="hidden" name="<?=$csrf['name'];?>" value="<?
浏览 4提问于2019-10-15得票数 1
我们正在构建一个基于Symfony 3 REST (使用FosRestBundle)的角形2 web应用程序。我们使用状态JWT来验证后端和前端之间的用户身份。
我们现在正在考虑CSRF,我们想知道除了JWT之外使用CSRF令牌是否正确。我们在中读到了这一点:
当构建一个应该同时通过HTML表单和REST处理表单的应用程序时,CSRF令牌验证会遇到问题。在大多数情况下,为HTML表单启用它们是必要的,但是将它们用于REST是没有意义的。因此,有一个表单扩展来禁用具有特定角色的用户的CSRF验证。当然,这要求REST用户进行身份验证并获得指定的特殊角色。
我们还阅读了一些关于这方面的其他
浏览 3提问于2017-02-15得票数 3
回答已采纳
我正在迁移我的地图,以使用保费计划,并按照指示:
(这些是用于静态映射的,但我认为其他apis也是如此)
段落-生成与客户ID一起使用的数字签名
我能够为我的脚本生成一个数字签名,其结果如下:
<script src="https://maps.googleapis.com/maps/api/js?&client=clientID&channel=qa&signature=signature"></script>
这是可行的,但我收到警告说,签名是不需要的,事实上,它的工作没有签名。
显然,我需要一个静态地图和方向的签名,那么为
浏览 1提问于2017-08-07得票数 0
回答已采纳
1回答
我已经编写了一个django webservice,它应该被我的iOS应用程序使用。我已经设法让get请求工作没有特别的问题,但是当我开始使用POST的那一刻,我得到了403。我读到可能是csrf所以我试了
from django.views.decorators.csrf import csrf_exempt
@csrf_exempt
当然,它是有效的!
以下是我的django视图代码
questionAnswer = request.POST['questionAnswer']
facebookID = request.POST['facebookID']
浏览 1提问于2013-09-17得票数 1
2回答
阅读这个,他们建议在cookie中设置一个csrftoken,然后让客户端框架将它放在一个将在服务器端请求上验证的头中。但是,在cookie中使用令牌不是因为cookie是根据每个用户的请求发送的吗?
还是Django在头中检查该值的“安全性”,而不是检查cookie值本身?
我理解为什么这适用于同步提交,但在这种情况下,csrftoken直接写入页面,而不是存储在cookie中,这似乎更安全。
来自
检查请求是否有有效的会话cookie是不够的,我们需要检查是否在发送到应用程序的每个HTTP请求中都发送了唯一的标识符。CSRF请求将没有这个有效的唯一标识符。CSRF请求不具有此唯一请求标识
浏览 3提问于2016-11-04得票数 0
使用金字塔web框架,当在会话对象上调用new_csrf_token()方法时,它是否会使之前发布的CSRF令牌无效?
例如:
old_token = session.get_csrf_token()
new_token = session.new_csrf_token()
# Is old_token still valid for requests?
浏览 10提问于2017-03-04得票数 0
回答已采纳
我注意到表单提交中使用的令牌来防止CSRF攻击,尽管在2016年,很多人正在迁移到JS前端& restful后端。我很困惑,用这种方法不需要CSRF令牌了吗?
我认为CSRF是表单提交的一个问题,因为所有的会话数据都是用每一个请求发送的。但是AJAX是不同的吗?也就是说,没有发送所有cookie(会话数据)?
您可以假设我的API是由CORS (通过TLS)保护的,也就是说,访问控制-允许-原产地只为我期望从其收集的数据的站点设置。
所以我要问的是: CORS & AJAX是否调用了避免在我的前端代码中生成令牌的方法?
浏览 0提问于2016-03-03得票数 2
回答已采纳
我正在用laravel 5.5中的任何一条路线:
Route::any('/', 'HomeController@index')->name('homepage');
路线应该是一个GET,但由于第三供应商重定向与一个帖子,我不得不改变它的任何;
问题是,当从第三方(使用post)重定向时,我得到:
The page has expired due to inactivity.
Please refresh and try again.
这是因为{{ csrf_field() }}
即使我收到了POST请求,我如何通过csrf_fiel
浏览 0提问于2018-08-24得票数 0
回答已采纳
我试图对我的django后端做一个ajax帖子,我得到了"error 403,forbbiden",使用AngularJS作为前端。
我知道我必须通过我的post数据发送csrf令牌,但是django视图没有检测到它。
自从在我的表单中使用'{%csrf_token%}‘,在我的ajax数据中使用{{csrf_token}}以来,我已经尝试了一切,但仍然得到了相同的错误。
View.py
from django.views.decorators.csrf import *
def getCookie(request):
if request.method == &
浏览 2提问于2015-05-18得票数 0
防止CSRF的常用方法是使用隐藏在表单中的令牌。仅仅出于好奇心,这是真正防止CSRF的唯一方法吗?人们争论不需要CSRF令牌让我发疯,我需要理解为什么。我还能怎么防止CSRF攻击呢?
浏览 2提问于2013-03-10得票数 5
1回答
我有一个padrino控制器,它有一个post方法和一个get方法。我可以用机架测试来测试get方法,而不是post方法。当我测试请求时,返回403。我认为这是因为padrino内置在csrf保护中,因为当我用set :protect_from_csrf, true评论行时,我可以测试post路由。显然,我不想评论这一行,因为csrf是有用的。为了测试目的,我如何获得测试这些路由的临时访问权限?
控制器
SailPowerCourses::Admin.controllers :owners do
get :index do
puts 'hello'
end
浏览 2提问于2014-10-25得票数 3
回答已采纳
我有一个关于csrf跨站点请求伪造攻击的问题。
我找到了一个好的。基本上,在视频中:
有人通过登录路径/函数更新某人的电子邮件,该功能在登录时更新电子邮件。
然后有人在csrf令牌不存在时更新电子邮件,最后使用HTML文件插入数据。
在视频中,他们只显示了登录路线所需的信息。
当我没有登录时,我需要它吗?另外,对于get请求,我需要csrf保护吗?我想不是因为什么都没有提交。
另外,我可以拥有一个空的WTForms,下面的代码能工作吗?
空表示例:
forms.py
class EmptyForm(FlaskForm):
pass
routes.py
@app.rout
浏览 5提问于2022-09-20得票数 0
回答已采纳
我正在处理一个Slim 3项目,我安装了 ("slim/csrf":"^0.8.2“)
为了发帖子,我用邮递员。在发送操作时,我会得到以下错误:
CSRF检查失败!
下面是我的API路由(在本例中,重点关注POST路由):
<?php
/* RESTful endpoints or routes */
use App\Controllers\api\users\UserController;
$app->group('/api',function () use ($app){
$app->group
浏览 1提问于2018-05-05得票数 0
回答已采纳
1回答
我使用弹簧安全,我试着允许一个不需要连接的职位。
所以在一个扩展WebSecurityConfigurerAdapter的类中
@Override
public void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity.authorizeRequests()
.antMatchers(
"/",
"/help**",
浏览 5提问于2022-05-06得票数 0
1回答
我正在尝试实现CSRF和SSL(它们并不完全依赖),并列出了我对主题的理解,以获得理解的证据。请随时纠正我对此的理解。
我们在几乎所有的安全应用程序中都看到了CSRF令牌。
跨站点请求伪造的工作方式:
你登录了你的银行账户。看看你的账户,或者只是因为你忙着就把它们打开在你的浏览器上。现在您收到的电子邮件可能是文本/图像或任何在下一个选项卡。当收到电子邮件时,诸如onload等函数,其他java脚本函数可能会在您不知情的情况下从浏览器中触发GET/PUT/POST请求。现在要注意的是,CSRF实际上无法从您的安全网页中读取任何内容,因为一旦您有了适当的SSL,安全页面就会被加密。而且CSRF也不
浏览 2提问于2017-02-16得票数 0
1回答
如何通过在每个请求中包含随机令牌或为每个表单域使用随机名称来防止cakephp web应用程序中的Cross Site Request Forgery (CSRF)攻击。Cross Site Request Forgery (CSRF)攻击利用web应用程序漏洞,在该漏洞中,受害者无意中在其浏览器中运行脚本,该脚本利用其登录到特定站点的会话。可以通过GET或POST请求执行CSRF攻击。
浏览 0提问于2018-07-10得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
