我有一个为SPA构建的JSON API,它只接受带有"Accept: application/json“头的请求。因此,在浏览器中提交以下表单将导致“不可接受”。HTTP错误。<form method="POST" action="https://api.example.domain/resource">
<input type="password" n
浏览 13提问于2017-07-20得票数 1
回答已采纳
1回答
如何确保文件下载的安全?
、、、
我有一个用angularjs编写的应用程序和一个反向导后端。所有API调用都是ajax,但文件下载除外,文件下载是通过重定向到标准GET请求来完成的。所有API调用都通过作为令牌头传递的令牌进行保护。我们对所有API都使用SSL。下载GET请求可以工作,但我很难弄清楚如何保护它。我无法设置自定义标头,这是传递令牌所必需<
浏览 5提问于2016-03-26得票数 0
回答已采纳
然后,AJAX请求被发送到WEB,该API对用户进行身份验证,并返回包含Json令牌的HTTP专用cookie。然后,浏览器在每个后续请求上发送此cookie,控制器对其进行验证。上述方法运行良好,但缺乏CSRF保护。我正在努力找出实现这一目标的最佳方法。从我的研究来看,似乎有几个选择。在其他地方,我读到了关于发送包含CSRF令牌的单独cookie并使用JavaS
浏览 0提问于2017-01-04得票数 8
回答已采纳
注意:我已经阅读了这个问题的答案,但发现它不能令人满意,可能是因为我对安全性了解不够。
我指的是前端服务器端呈现的SPA +后端API,它需要使用cookie,并且需要持久登录。由于我需要用于服务器端身份验证的cookie,所以我希望消除任何用于身份验证的LocalStorage使用(以进一步减轻XSS)。前端应用程序代码检查是否存在csrftoken cookie,如果存在,则将其作为自定义<em
浏览 0提问于2019-10-15得票数 1
回答已采纳
1回答
考虑到以下事实,将CSRF token用于restful (当然,它没有复杂的会话)似乎是不可避免的:因此,为了防止XSS和CSRF的攻击,必须在系统中实现CSRF token。我的问题是
浏览 0提问于2021-12-20得票数 1
回答已采纳
我有一组REST服务,它们由CSRF使用类似于OWASP的同步器令牌模式( )来保护。* REST是使用Java和JAX-RS实现的*安全性是使用Security令牌实现的* HTTP、POST和DELETE受到保护
在我的Web启动时,我在HTML页面中写入正确的CSRF令牌,然后应用程序将令牌作为“X标<e
浏览 0提问于2014-02-07得票数 2
回答已采纳
1回答
我们正在努力使用AngularJS和Restful服务在SPA中实现CSRF保护。
javascript (角)代码将CSRF令牌放入$rootScope中
浏览 4提问于2016-12-09得票数 0
2回答
我理解跨站点请求伪造是如何发生的,但是我非常不清楚如何使用SPA(React)应用程序来保护它。例如,我的当前策略是,在登录时,将csrf令牌作为cookie发送到客户端,在客户机上,获取该cookie并将其包含在req.body或自定义标头中。我的快速后端正在使用CSURF包,并将在任何POST路由上验证令牌。
但是,这怎么安全呢?恶意网站可以做完全相同的事情,点击我的登录,接收
浏览 0提问于2019-09-23得票数 2
{
protected void configure(HttpSecurity http) throws Exception { .and()}
这不应该保
浏览 30提问于2019-03-28得票数 2
回答已采纳
提前感谢你的回答。我有一个要求,这是在AngularJS 2.0开发。为了满足用户的需求,用户可以通过GuestPayment门户网站支付待付的账单。那么,我应该如何实现CSRF令牌来为这个GuestPayment门户或任何其他可能的令牌提供安全性呢?你能对此给我提点意见吗?
浏览 0提问于2016-05-24得票数 0
我已经在网站上实现了OWASP CSRF保护。它使用自定义头来保护AJAX的CSRF。这个标记上有主题信息。没有给出任何解释。我不知道上述说法是否属实。为什么它无效?注意:为ajax请求添加了一个自定义标头“您指定名称”。因此,我的ajax调用<e
浏览 0提问于2015-08-19得票数 1
回答已采纳
1回答
弹簧角为2的CSRF
、、、
我试图用弹簧安全(4.1.3)和角2.0.1来实现CSRF保护。
相关话题有很多来源,但我找不到明确的指导。有些陈述甚至自相矛盾。我读过关于弹簧的方法(尽管指南描述了角度1), it意味着,使用.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse,没有XSRF-标头接收的标记。对Spring
浏览 0提问于2016-10-11得票数 1
回答已采纳
双提交cookie容易受到来自同一域的cookie注入的影响。如果我使用的是自定义头而不是cookie呢?示例HTTP请求:POST X-CSRF-PROTECTION = 5a445s66gg54s45a54这不是更安全吗?
编辑:好吧,我很困惑,多亏了安德斯,我现在有了一个更清晰的
浏览 0提问于2017-01-27得票数 5
我有一个简单的REST API,需要从web应用程序以及从远程服务访问。
远程服务通过包含API密钥的自定义HTTP标头进行身份验证。如何保护API,使来自web浏览器请求受到CSRF保护,但通过API密钥进行身份验证时不执行CSRF检查?或者,通常情况下,我如何为特定视图上的一些请求启用CSRF保护<
浏览 0提问于2014-04-16得票数 1
我在一个遗留的java应用程序(13yrs+)中工作,它没有防止CSRF攻击的机制。在后端,所有东西都通过Struts操作传递。该应用程序不需要使用浏览器书签,它在内部提供了一个收藏夹菜单,其中保存了特定于它的书签。此外
浏览 0提问于2015-01-10得票数 0
我注意到表单提交中使用的令牌来防止CSRF攻击,尽管在2016年,很多人正在迁移到JS前端& restful后端。我很困惑,用这种方法不需要CSRF令牌了吗?我认为CSRF是表单提交的一个问题,因为所有的会话数据都是用每一个请求发送的。但是AJAX是不同的吗?也就是说,没有发送所有cookie(会话数据)?您可以假设我的API是由CORS (通过TLS)保护</em
浏览 0提问于2016-03-03得票数 2
回答已采纳
许多资源声称() ()
对正常用户可由浏览器处理的任何请求使用CSRF保护。如果您只创建非浏览器客户端使用的服
浏览 1提问于2015-12-01得票数 9
我指的是关于配置CSRF保护的Spring安全文档:
我不确定如何配置我的处理程序以处理无效的CSRF令牌。处理过期&#
浏览 1提问于2015-03-18得票数 11
我通常在开发过程中添加*,因为CORS允许原始头,并且想知道如果我使用csrf令牌来保护我的站点不受伪造请求的影响,我是否需要更改它。
浏览 3提问于2017-11-13得票数 3
Backbone.js处理将数据提交给服务器的方式,因此在有效负载中插入CSRF令牌并不是一种简单的方法。在这种情况下,我如何保护我的站点免受CSRF的影响?在这个答案:中,建议是验证x请求的标头是XMLHTTPRequest。这是否足以阻止CSRF的所有尝试?
在Django文档中,建议在每个AJAX请求中的另一个自定义头中添
浏览 8提问于2013-08-08得票数 9
回答已采纳
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
腾讯云开发者
