无效的CSRF令牌，即使它是有效的

文章/答案/技术大牛

发布

2回答

python、post、beautifulsoup、python-requests

我正在尝试编写一个脚本，该脚本将登录到https://shop.footshop.eu/en/profile/login，post请求的有效负载如下所示：{"login":{"email":"myEmail@gmail.com","password":"myPassword","_csrf_token":"jrqiIKWyueAcSVs2hVCuUhVfSj-sR

浏览 79提问于2021-08-07得票数 0

回答已采纳

1回答

失眠:无效的csrf令牌

insomnia

即使在提供了所有有效的凭证和令牌刷新“失眠”之后，也要继续抛出“无效的csrf令牌”令牌作为响应。我尝试刷新令牌、重新启动和更改不同的凭据，但都不起作用。

浏览 34提问于2020-06-18得票数 1

3回答

多个有效CSRF令牌的优点

web-application、csrf

据我所知，执行CSRF保护的方法有两种：2)每个请求的CSRF令牌--每个请求都生成新的令牌，而旧的令牌变得无效。几天前，我开始分析Node.js连接框架如何实现CSRF保护并注意到它使用了第三种方法：每个请求都会生成新的</em

浏览 0提问于2014-02-09得票数 5

回答已采纳

1回答

Primefaces和Spring安全性: Ajax侦听器未触发

ajax、spring、security、primefaces、actionlistener

目前，它是非常基本的，使用身份验证和默认过滤器。但是，从现在开始，当我将一个Widget从Library区域拖到Dashboard (实际上是字段集中的outputPanel中的一个数据)区域时，什么都不会发生。和往常一样(它消失了，没有返回到库区域)，但是仪表板上没有小部件，即使我刷新页面。这也可能是Ajax和Spring之间的一个问题(不调用p:ajax中的函数)。有人想办法解决这个问题吗？下面是不同的代码部分(可能已经足够了，如果缺少了什么，就告

浏览 2提问于2015-07-22得票数 0

回答已采纳

1回答

为什么Express/Connect会在每个请求上生成新的CSRF令牌？

node.js、security、express、csrf

据我所知，在防范CSRF攻击方面有两种方法: 1)每个会话令牌，2)每个请求的令牌 1)在第一种情况下，在初始化用户会话时只生成一次CSRF令牌。因此，用户一次只有一个有效的令牌。2)在第二种情况下，对每个请求生成新的CSRF令牌，然后旧的CSRF令牌变得无效。这使得利用可维护性变得更加困难，因为即使<

浏览 0提问于2014-02-08得票数 8

回答已采纳

3回答

使用AJAX在rails上加载CSRF令牌

javascript、ruby-on-rails、ajax、ruby-on-rails-3、csrf

我已经决定只用一个页面加载来实现我的Rails站点，并通过AJAX完成所有其他工作。问题是，在meta中生成的CSRF令牌一旦用于提交注册或签到表单，就会失效。

浏览 0提问于2012-05-22得票数 4

1回答

EBADCSRFTOKEN: expo身份验证会话中的CSRF令牌无效

expo、azure-ad-b2c

我正在使用expo auth session和Azure ADB2C来授权我的移动React Native应用程序。我正在使用世博会身份验证会话代理。当我尝试登录应用程序时，我在第一次尝试登录时在浏览器中得到一个错误消息"EBADCSRFTOKEN: Invalid CSRF token“。随后的尝试可以正常工作。其他线程已经推荐了可能的解决方案，但据我所知，它们都不适用，因为我们使用的是Azure的ADB2C。

浏览 39提问于2021-08-27得票数 0

1回答

CSRF token验证失败，如何使用serenity rest assured框架修复？

java、rest-assured、serenity-bdd、serenity-js

1)使用GET请求能够获取响应头中的CSRF令牌。2)然后，我尝试使用相同的获取CSRF令牌来发布另一个请求，并收到"CSRF令牌验证失败“ response = RestAssured.given()

浏览 27提问于2019-05-04得票数 0

1回答

CSRF令牌没有从角发送到弹簧

spring、angular、security、spring-boot、csrf

我们正在构建一个使用的web应用程序。作为我们的安全措施之一，我们使用CSRF令牌。问题是，在本地机器上，令牌验证工作，但是在我们的暂存服务器上，令牌不是由前端发送的。问题突然发生了；在使用令牌的最初几个月中，我们没有遇到这个问题。经过一定的建造，他们开始失败了。过了一会儿，他们又开始工作了，但现在又停止了工作。因此，似乎存在一个我们看不到的环境问题。我们能看到的</em

浏览 0提问于2017-11-27得票数 0

3回答

安全地使用带有CSRF保护和刷新令牌的JWT

authentication、cookies、csrf、jwt

如果JWT过期(基于其exp声明)，将检查DB以确保用户仍然有效(例如帐户未删除、密码未更改等)。如果用户有效，则对刷新令牌进行验证，生成一个新的JWT/CSRF令牌并在响应中传回。如果用户无效，access_token将被发送回任意值，如0，其过期设置为过去，因此浏览器将清除它。CSRF令牌是空的，因此它将从localStorage中清除。用户的所有刷新令牌都从DB中清

浏览 0提问于2016-08-12得票数 14

1回答

奏鸣曲CSRF标记无效，尽管格式正确

php、symfony、csrf、sonata-admin

在使用Symfony/Sonata时，我们面临着CSRF令牌无效错误。如果客户端和服务器之间的通用通信正常工作，还有什么可以使CSRF令牌无效？

浏览 4提问于2017-01-30得票数 0

回答已采纳

1回答

带有奇怪的隐藏输入字段的HTML表单呈现

php、html、wordpress

我有一个新的电子商务网站，使用牵头形式收集客户信息。在我们的生产现场，有隐藏的输入字段与加密的外观名称和值属性。知道这些隐藏字段的目的是什么吗？这有可能是某种黑客企图吗？这些表格似乎像预期的那样提交和重定向。

浏览 3提问于2021-04-13得票数 0

回答已采纳

2回答

使用Spring安全性的AJAX请求禁止403

java、ajax、spring、spring-boot、spring-security

我有一个基于spring引导，spring安全，胸腺网的网站，我在某些情况下也使用ajax。我在春季安全中使用表单登录安全性。在浏览器中，登录后我可以使用rest (GET)，但是使用 ajax 它返回403，即使我的ajax请求在cookie中包含会话id。) { return new ResponseEntity<>(HttpStatus.NO_CONTENT); 我的ajaxconsole.log("

浏览 2提问于2019-09-18得票数 5

回答已采纳

2回答

在外部源POSTing URL上设计会话重置

ruby-on-rails、actionscript-3、flash、authentication、devise

这是一个有趣的问题，真的，尽管你在那里掌握了所有的东西。我们设计了OmniAuth的设置，但无论你是通过Facebook登录，还是通过普通用户名登录，问题都会发生。发生的是，我们有一个Flash游戏嵌入在我们的网站上。控制器(排行榜嵌套在游戏下面)获取submitLeaderboardStatistic方法中的url信息。此方法处理信息。在此方法中，我调用current_user来获取当前用户，即提交实际分数的用户。问题是，current_user返回nil。显然，正在发生的<

浏览 0提问于2012-03-25得票数 2

回答已采纳

1回答

在重新验证时更新CSRF令牌(由客户端报告)

csrf

由于CSRF令牌与会话相关联，因此CSRF令牌现在也无效。服务器检查用户名和密码。如果它们是有

浏览 0提问于2022-01-14得票数 1

1回答

没有抗CSRF令牌和服务器泄漏信息通过“X供电-被”：我如何设置它？

php、apache、httpresponse、csrf-token

我目前正在使用Apache服务器作为我的项目的Wamp应用程序。在进行安全扫描时，报告中出现了两个错误：我该怎么做才能解决这些问题？谢谢。

浏览 2提问于2021-02-09得票数 1

回答已采纳

1回答

ajax调用会话丢失

ajax、session、ruby-on-rails-4、csrf

因此，在我们的应用程序中，我们很少对api(相同的域，相同的服务器)进行ajax调用。Started GET "/api&#x

浏览 0提问于2014-03-14得票数 0

1回答

后CSRF检查，设计仍然运行充分的功能。

ruby-on-rails、devise、csrf

在Rails中，如果CSRF检查失败，那么用户的当前会话将被清除，即注销用户，因为服务器假定它是攻击(这是正确/期望的行为)。但是请求已经完成，因此用户记录仍然被创建。然后黑客可以正确登录。一旦设计意识到auth_token是错误的，我如何阻止该方法继续进行？

浏览 0提问于2014-06-10得票数 0

回答已采纳

1回答

如何在django rest框架中实现CSRF令牌？

reactjs、django、authentication、csrf、http-token-authentication

我注意到，当使用django时，当你发出post请求时，例如使用一个表单，django会要求你添加csrf令牌，但是当我使用react从django rest框架创建的api中获取数据时，我意识到当我没有发送csrf令牌时，应用程序没有任何错误。在这个应用中，我正在使用knox的令牌认证，我已经看到了一些关于如何使用csrf令牌进行会话认证的帖子。我的问题是令牌身份验证是否不需要

浏览 4提问于2021-02-18得票数 0

1回答

无法向jquery-fileupload调用追加额外数据。

javascript、jquery、ajax、django、jquery-file-upload

现在，我已经在模板中附加了带有输入标记的csrf token，如下所示：但是，在JS文件的后面，我想在这个表单中附加一些额外的信息。，而formData已经在模板中创建并包含csrf_token。如果我试图在employee_id调用中附加csrf令牌</e

浏览 2提问于2017-11-18得票数 0

回答已采纳

点击加载更多