login_required, name='dispatch')model = Categorysuccess_url = reverse_lazy('category-list')
path('category/<int:pk>/delete', CategoryDeleteView.
浏览 23提问于2021-01-22得票数 1
2回答
我的大部分GET请求都是由角触发的,这使得在标头中设置CSRF令牌变得很容易。这已经为POST请求提供了现成的服务,但是我想知道我是否也可以对GET请求使用CSRF保护。'ProjectView' object has no attribute 'COOKIES'
File "c:\Apps\msysgit\simpletask\lib\site-packages\djangorequest.COOKIES[settings.CSRF_COOKIE_NA
浏览 4提问于2013-04-02得票数 1
回答已采纳
目前,似乎没有任何100%的防御措施。当然,这只会增加攻击者对计算机的要求,而且不会对服务器进行100%的保护。另一份报告指出,在Apache服务器前面使用反向代理(如Perlbal)可以帮助防止攻击。使用mod_evasive限制来自一个主机的连接数量,并使用mod_security拒绝看起来像是由slowloris发出的请求似乎是迄今为止最好的防御方法。如果是的话,你采取了哪些措施来
浏览 0提问于2009-06-26得票数 33
让我们假设攻击者能够将JavaScript注入网站。显然,他可以执行任何HTTP请求,以模拟用户操作,除非有一些确认,如SMS代码需要用户直接交互(即使在这种情况下,恶意JavaScript也可能欺骗用户)。所以,我想,这个攻击媒介是无法合理防御的。但是,如果攻击者窃取会话,他可以冒充用户并几乎做任何事情。所以我在考虑如何保护这个向量。当然,服务器可以检查IP地址等,但这并不总是可能的。
第一件事:将会话存储在只使用HTTP的cookie中。我正在考虑
浏览 0提问于2017-09-27得票数 1
我正在用Django 2.1构建一个应用程序,我希望能够通过ajax调用进行补丁/删除请求。通过对这方面的研究,我找到了通过使用POST请求欺骗浏览器的解决方案,但将头X_METHODOVERRIDE设置为所需的方法。到目前为止发出删除请求的代码:class CategoryManageView(StaffRequiredMixin, View
浏览 2提问于2019-03-04得票数 0
回答已采纳
3回答
挂钩和延迟导入挂钩,它需要编辑导入表中最不合适的保持函数地址来指向我的钩子函数,在异常情况下也需要编辑至少第一个字节到未知的字节,这样就会抛出一个异常,然后用您已经安装的处理程序捕获它,并将其重定向到您的蹦床中。所以攻击者将使用VirtualProtect或NtVirtualProtect来编辑字节。另一种挂钩方法是通过保护异常,这几乎不需要对字节进行任何编辑,而是需要对内存保护进行任何编辑,因此在访问函数时将引发异常,您将处理这些异常并做任何您想做的
浏览 8提问于2018-07-12得票数 1
回答已采纳
我想保护两台服务器,防止那些盲目探测urls的攻击者。我可以用fail2ban做这件事。但是,其中一台服务器是在反向代理后面,我不控制它,它不通信原始IP地址(转发原始IP地址的请求需要很长时间才能被处理),这意味着从nginx的少数几个点来看,所有请求都来自尊敬的代理的IP,而且显然,如果有人触发过多是否有任何方法(不使用fail2ban、使用fail2ban或任何<
浏览 0提问于2022-02-27得票数 0
2回答
我们有一个安卓应用程序,它向web服务发送一些数据,然后web服务将其保存在MySQL数据库中。我们希望避免人们使用web服务,如果它不是来自应用程序本身。我的意思是,我们希望确保没有人能够对我们的应用程序执行MITM攻击,然后从其他地方向我们的web服务发送请求。我们想出了下一个想法:// Pseudo
String token =如果两者相同,则允许请求</em
浏览 0提问于2015-04-14得票数 2
回答已采纳
最近,我参加了一个研讨会,主持人解释了如何保护rest。这样,恶意黑客将无法在飞行中更改in,并将请求定向到后端的不正确资源。更好的方法是在正文中放置ids,并将正文作为令牌的有效负载的一部分发送。如果有人篡改了令牌,那么令牌中的签名将与负载中修改的内容不匹配。
这是正确的方法还是最好的方法?
浏览 0提问于2019-12-17得票数 1
回答已采纳
该示例来自Python框架,但适用于所有web应用程序。ALLOWED_HOSTS默认值:
表示此Django站点可以提供的主机/域名的字符串列表。这是一种安全措施,以防止攻击者通过提交带有虚假header的请求(即使在许多看似安全的web服务器配置下)提交带有恶意主机链接的缓存和密码重置电子邮件。此列表中的值可以是完全限定的名称(例如“www.example.com”),在这种情况下,它们将与请求的主机标题完全匹配(不区分大小写,不包括端口)。值“*”将匹配
浏览 2提问于2014-07-29得票数 9
回答已采纳
我正在为Django开发一个移动应用程序的后端,其中用户注册使用POST方法发送用户数据。因为Django将CSRF安全性作为中间件提供。
浏览 3提问于2020-06-04得票数 2
回答已采纳
1回答
是比较参考http标题足够防止CSRF,我有下面的html代码。KeepSessionAlive</A><B>"+KeepSessionAlive+"</B>");</script>
它只是一个standerd html表单,但是我想知道如果我使用下面的代码,我是否可以完全保护我不受
浏览 4提问于2015-02-21得票数 4
回答已采纳
1回答
谁能访问X令牌?
、、
我真的对我继承的Spring应用程序中的CSRF令牌实现感到困惑。基本上,每个人都可以通过查看Spring安全过滤器所做的事情来请求令牌: .exceptionHandling()最初,我认为保护来自</em
浏览 0提问于2019-09-08得票数 1
回答已采纳
攻击者请求使用可信的HTTP谓词(如GET或POST ),但添加诸如XHTTP方法、XHTTP-方法-重写、X-方法-覆盖之类的请求标头,或者添加查询参数(如_method ),以提供受限制的动词(如PUT或DELETE )。这样的请求由目标应用程序使用请求头中的谓词而不是实际的HTTP谓词来解释。安全约束将适用于除省略项中指定的方法以外的所有方法</em
浏览 0提问于2018-10-24得票数 3
回答已采纳
是否有必要在GET查询中添加?
如果我将其添加到GET中,则链接将开始保持?csrfmiddlewaretoken= csrf_token
浏览 4提问于2016-03-30得票数 0
回答已采纳
Django的原始SQL特性在传入SQL查询的任何参数周围添加单引号,如果参数是字符串的话。当我需要执行这样的查询时,这对我是不利的:param是一个字符串,如'1,2,3',因此Django将查询呈现为:
使用params参数可以
浏览 4提问于2015-06-19得票数 3
回答已采纳
3回答
我正在尝试设置Django API ( POST API端点)。我希望有相同的URL路径指向相同的函数,因为它是POST或GET,所以处理方式不同。== "POST":在url.py中,我有以下代码我没有发布任何内容,只是更改了从httpclient到httpclient的post方法来尝试这个API。如果我没有将<
浏览 4提问于2015-10-06得票数 8
回答已采纳
如果我能够在我的rails应用程序中禁用CSRF令牌检查,我会发现自己处于这样一种情况下,我可以提供更好的用户体验。我是否会通过禁用对特定端点的CSRF保护来面对任何额外的安全风险,或者我是否可以安全地依赖身份验证before_filter来阻止CSRF令牌所保护的恶意请求?CSRF保护可以正常工作,除非用户使用空cookie访问页面。
在这种情况下,rails为每个X个请求生成一个新会话,因为它们都没有cookie。当然,对于每个新会话,生成一个新的CSRF令牌并在对
浏览 1提问于2012-05-18得票数 2
回答已采纳
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
