无cookies的Yii2中的CSRF验证
在无cookies的Yii2中,CSRF验证是一种用于防止跨站请求伪造攻击的安全机制。CSRF(Cross-Site Request Forgery)攻击是指攻击者通过伪造用户的请求,以用户的身份执行非法操作。
CSRF验证通过生成一个唯一的令牌(token)来实现。当用户访问包含表单的页面时,服务器会生成一个令牌并将其嵌入到表单中。当用户提交表单时,令牌会随着请求一起发送到服务器端。服务器端会验证令牌的有效性,如果令牌无效,则拒绝请求。
CSRF验证的优势在于可以有效防止恶意攻击者利用用户身份进行非法操作,保护用户的数据安全。
在Yii2框架中,可以通过以下步骤实现无cookies的CSRF验证:
- 在应用的配置文件中启用CSRF验证:
'components' => [
'request' => [
'enableCsrfValidation' => true,
'enableCsrfCookie' => false,
],
],通过将enableCsrfValidation设置为true,启用CSRF验证;将enableCsrfCookie设置为false,禁用CSRF验证所需的cookie。
- 在表单中添加CSRF令牌:
<form method="post">
<?= Yii::$app->request->csrfTokenInput ?>
<!-- 其他表单字段 -->
<button type="submit">提交</button>
</form>使用Yii::$app->request->csrfTokenInput可以生成一个隐藏的input字段,其中包含了CSRF令牌。
- 在服务器端验证CSRF令牌:
public function actionSubmitForm()
{
if (Yii::$app->request->validateCsrfToken()) {
// CSRF令牌验证通过,处理表单提交
} else {
// CSRF令牌验证失败,拒绝请求
}
}通过调用Yii::$app->request->validateCsrfToken()方法,可以验证CSRF令牌的有效性。
CSRF验证的应用场景包括但不限于用户登录、表单提交、数据修改等需要保护用户数据安全的操作。
腾讯云提供了一系列与云安全相关的产品,如云防火墙、DDoS防护、Web应用防火墙等,可以帮助用户保护云计算环境的安全。具体产品介绍和相关链接地址可以参考腾讯云的官方文档和网站。
以上是关于无cookies的Yii2中CSRF验证的完善且全面的答案。
相关·内容
正在执行:
var_dump(Yii::$app->request->cookies);
var_dump($_COOKIE);
提供不同的结果:
在第一种情况下:
object(yii\web\CookieCollection)[60]
public 'readOnly' => boolean true
private '_cookies' =>
array (size=1)
'_csrf' =>
object(yii\web\Cookie)[63]
浏览 1提问于2015-07-14得票数 1
在我的Yii2应用程序中,有一个用户提交的表单。该站点启用了CSRF验证,但如果用户禁用了cookies,则会抛出错误。处理这种情况的最好方法是什么?我真的不想禁用CSRF验证,以确保表单只从我的网站提交。不涉及任何登录过程。对于用户来说,这只是一个一次性的使用场景。谢谢。
浏览 27提问于2020-04-08得票数 0
回答已采纳
如果没有csrf令牌,我将得到403响应,所以看起来我需要它。我现正尝试这样做:
import requests
import sys
URL = 'http://127.0.0.1:8000/toasterinfo'
client = requests.session()
# Retrieve the CSRF token first
client.get(URL) # sets cookie
csrftoken = client.cookies['csrf']
r = client.post(URL, data={'number':
浏览 14提问于2017-06-01得票数 1
回答已采纳
我尝试通过bash脚本使用curl来存储使用curl -c cookies.txt https://www.mydjangoapp.com/的cookie,这样我就可以在后续的curl请求中使用CSRF令牌(在后续命令中使用-b cookies.txt选项)。
但是,当我运行cat cookies.txt查看内容时,该文件只包含以下内容:
# Netscape HTTP Cookie File
# https://curl.haxx.se/docs/http-cookies.html
# This file was generated by libcurl! Edit at your own
浏览 2提问于2019-11-13得票数 0
我在使用AJAX PUT请求的应用程序中使用了RESTfull api,如下所示:
$.ajax({
method: "PUT",
url: "/device/{{ $client->id }}",
async: false,
data: {
javascript_enabled: $('#javascript-enabled').text(),
浏览 0提问于2015-11-14得票数 1
5回答
我正在编写一个Django CSRF来支持iOS应用程序,并且每当我编写处理POST请求的方法时,我都会遇到Django的RESTful保护。
我的理解是,由iOS管理的cookies不被应用程序共享,这意味着我的会话cookies是安全的,任何其他应用程序都不能使用它们。这是真的吗?如果是这样,我是否可以将我的所有API函数都标记为CSRF-exempt?
浏览 0提问于2012-05-25得票数 66
回答已采纳
试着排除我每天刮这个网站的麻烦。它曾用于wget和以下postdata:pin=87654321&accessCode=1234&Submit=Submit .工作了几年然后破产了。我注意到他们在post数据中添加了一个名为"_csrf“的字段,在检查时,它会像这样发送postdata:
_csrf=d3063789-88a2-4b50-ad38-5c34663797a0&pin=87654321&accessCode=1234&Submit=Submit
因此,调整后的脚本执行以下操作。
wget index.html并保存cookie
用于c
浏览 0提问于2021-12-18得票数 -1
1回答
当用户使用时,我将视图源中的创建表单代码复制到登录,然后从复制的代码创建html文件,然后我注销,然后再次登录。当我提交html文件,然后系统接受它没有任何csrf检查。不确定问题出在哪里。csrf已启用,_csrf代码也可在视图源代码中获得
<input type="hidden" name="_csrf" value="ttPy-NP-8FUCQxKczEWgkl66JQfb3JfJHwUOSsi9wjTxkp_LgKqxFFYBQu2iL8T2LIxpQ7Xuzo0ucEYfjPSUBg==">
浏览 10提问于2018-02-25得票数 0
我有一个后端API,它在django中,部署在上。我有一个post请求将数据插入到我的DB中。
我创建了一个脚本来使用这个端点,但是我得到了以下错误:
{“详细信息”:“CSRF失败:引用检查失败-没有引用。”}
关于多个帖子,我在类中添加了crsf_exempt装饰器,但没有改变。
我试着用两种方式添加装潢师:
class AddUser(APIView):
""" Create user and company from csv """
@method_decorator(csrf_exempt)
def pos
浏览 3提问于2021-02-16得票数 5
回答已采纳
2回答
几个小时以来,我一直在尝试使用Axios从独立的VueJS前端向我的Django应用程序中的端点发送POST请求。我的代码的问题是,无论我尝试什么,我都会得到Forbidden (CSRF cookie not set.),并且我不能使用@crsf_exempt。
我尝试了我找到的所有可能的解决方案,从更改Axios请求中的标头名称到将CSRF_COOKIE_SECURE设置为False,似乎没有什么能解决这个问题。
以下是我的请求:
function getCookie(name) {
var cookieValue = null;
if (document.cookie &
浏览 2提问于2021-03-26得票数 0
我在api控制器中更改了session中的值,但它不会在下次获取session中该变量的值时反映出来。这是api控制器...
module Api
module V0
class RecommendationsApiController < ApplicationController
def x
r1 = session[:last_id]
r2 = some_function(r1)
session[:last_id] = r2
浏览 1提问于2014-09-09得票数 0
表达式和角都有自己的csrf中间件。我根本无法让他们工作,而且在互联网上似乎没有任何关于这方面的连贯指南。我的理解是,Exchange4.0使用c冲浪作为csrf中间件,我必须在angularjs上设置X-XSRF-TOKEN。
关于如何做到这一点,有一些零散的部分,有时与之相冲突的信息:
但我已经试过了,但它们不起作用。我的_csrf总是角客户端的undefined,尽管客户端没有给出csrf令牌,但csrf总是给出success。
此外,我使用express-jwt来保持用户会话,因此我不确定这是否会干扰cookie-session (curf所要求的)。
以下是我使用csrf处理寄
浏览 2提问于2015-02-11得票数 3
我在UAT - requireSSL="true"中的web.config代码行中发现了不安全服务器(没有SSL)中的web.config属性的问题。
对于CSRF (跨站点请求伪造)修复,我们使用:
var requestCookie = Request.Cookies[AntiXsrfTokenKey];
我们不能从不安全的服务器上读取安全cookie。因此,对于不安全的服务器,requireSSL属性在web.config中应该是false。
如果我们使requireSSL="false"的CSRF修复工作良好,但所有cookie都会变得不安全,这会产生其
浏览 1提问于2014-10-07得票数 2
我正在尝试使用laravel和我为其制作的api登录用户,我使用电子邮件和密码创建了post代码,但它返回给我一个令牌不匹配错误,我猜这是因为我没有传递任何csrf,我的疑问是如何获得它。
如果我理解正确的话,我只需要在我的主域上做一个GET,并从那里从cookies (?)抓取csrf。
我发现了这个,但是类被弃用了,我不知道如何用我更新的代码来实现:
找到:
CookieStore cookieStore = httpClient.getCookieStore();
List <Cookie> cookies = cookieStore.getCookies();
f
浏览 0提问于2017-03-02得票数 0
遵循Nextjs存储库中的,我希望实现CSRF保护(可能是使用包),因为我使用的是一个带有快捷会话的会话ID cookie。
我尝试在我的自定义服务器中设置c冲浪,并将生成的令牌保存在res.locals.csrfToken中,在第一个页面加载时,可以通过我链接的示例中位于/lib/withAblo.js中的静态方法"getInitialProps“来获取该令牌。当我试图更改页面(带有链接)或尝试使用阿波罗(例如登录)发出post请求时,服务器就会更改csrf令牌,因此阿波罗使用的令牌不再有用,因此我得到了一个"csrf是无效的“错误。
具有配置的自定义服务器
const cs
浏览 0提问于2019-01-13得票数 5
我使用Vuejs作为前端,Django rest框架作为后端,我有一些困惑如何使用csrf令牌,我的问题有两个部分,首先我写我的配置。
首先,正如所说,“如果你的视图没有呈现一个包含csrf_token模板标签的模板,Django可能不会设置CSRF token cookie。这在表单被动态添加到页面的情况下是很常见的。为了解决这种情况,Django提供了一个强制设置cookie的视图装饰器:ensure_csrf_cookie()",所以这是我的视图,它呈现加载了webpack包的页面。
@ensure_csrf_cookie
def main_view(request):
浏览 5提问于2021-04-10得票数 0
是否有一种方法可以禁用控制器的某些操作的CSRF验证,使其对其他操作保持启用?
在我的例子中,我有几个可配置的Action类,它们将被注入控制器。我无法将csrf验证令牌传递到AJAX请求中,因为我正在处理的是前端的外部(不是由我制作的) WYSIWYG插件。是的,我仍然可以使用这些操作禁用整个控制器的csrf验证,但它可能是不安全的。
浏览 11提问于2015-02-15得票数 48
回答已采纳
我使用yii2 2的cookie类和下面的代码在服务器端设置cookie,但是当我用javascript在客户端上设置cookie时,它以不同的格式打印,比如3ab2e6b31664352c0398b57bd98720da925d1254d476f4d7c4e7c29ce71c0c14a:2:{i:0;s:3:"uid";i:1;i:1;},原因是什么,获得uid值的正确方式是什么?
$cookies = Yii::$app->response->cookies;
if (!$cookies->has('
浏览 5提问于2015-12-23得票数 1
回答已采纳
1回答
我正在用Yii2开发一个REST模块。客户端能够在服务器上进行身份验证,也能够获得请求的响应。我已经看到,客户端向系统进行了一次身份验证。客户端似乎存储了其身份验证信息,因为不需要对后续请求进行进一步的身份验证。
当然,我感兴趣的是每个REST请求都需要身份验证。我已经看到,有一种方法可以在应用程序的配置中进行一些固定的设置,这是我想要避免的。
我猜身份验证信息存储在cookie中。我假设cookie名为‘_csrf-frontend’。现在我尝试在一个控制器函数中删除这个cookie。
$cookies = \Yii::$app->response->cookies;
$cook
浏览 0提问于2018-03-28得票数 1
1回答
我正尝试在单个页面应用程序react前端上实现cookies for auth中的jwt,该前端与运行express的各种节点微服务通信。
我这样做是因为在会话存储中存储jwt会使应用程序容易受到XSS的攻击。
但是,通过使用cookie,apis现在容易受到csrf攻击。
传统上,csrf攻击可以通过创建csrf令牌,将其存储在服务器会话中,然后将其呈现在隐藏的表单字段中来减轻。然后,在提交表单时,将对照服务器会话值检查csrf令牌的值,以检查它们是否匹配。
我不能使用这种方法,因为:-服务器是无状态的-没有服务器端呈现。
因此,我对我应该采用哪种csrf方法感到困惑。我读过有关double
浏览 0提问于2018-09-17得票数 4
我刚刚开始使用Django Rest框架,我对CSRF令牌在请求中的使用有点困惑。例如,在下面的请求中使用标准Django视图需要一个CSRF令牌:
fetch("http://127.0.0.1:8000/api/add_item/", {
method: "POST",
headers: {
"Content-Type": "application/json"
// "X-CSRFToken": Cookies.get("csrftoken")
浏览 4提问于2022-08-18得票数 0
回答已采纳
1回答
我试图传递带有异步http请求的CSRF令牌。
Yii2服务器响应:
无法验证数据提交的错误请求(#400)。
角请求:
$http.post(
/web/api/search',
{
'_csrf': yii.getCsrfToken(),
'data': $scope.data
}
).success(function(response) {
console.log("Hello, World!");
});
CSRF元标记也已启用:<?= Html::c
浏览 3提问于2015-03-06得票数 2
回答已采纳
我有一台运行Yii2的服务器,其中只有一个API端点,另一台服务器有一个单页面应用程序,可以从Yii服务器获取所有数据。
当应用程序成功登录时,我将JWT-Token存储在cookie中,并且我有一个基于此的自定义AuthMethod。
我的问题是,当cookies用于身份验证时,CSRF保护必须到位。yii应用程序会自动设置_csrf cookie,但目前它不会做太多事情。
据我所知,我需要在登录时将这个csrf令牌提供给前端应用程序,以便它可以存储在本地存储中,并在所有后续请求的头部中发送。
我已经使用Yii::$app->request->csrfTokenFromHeade
浏览 11提问于2018-08-17得票数 1
回答已采纳
1回答
如何更改前缀?
、、
我怎么能改变拉勒维尔圣殿csrf曲奇路线到/api/sanctum/csrf-cookie?
我尝试了以下更改:
config/sanctum
'middleware' => [
'verify_csrf_token' => App\Http\Middleware\VerifyCsrfToken::class,
'encrypt_cookies' => App\Http\Middleware\EncryptCookies::class,
],
'prefix' =>
浏览 3提问于2021-01-29得票数 0
我的web应用程序(myApp进一步)嵌入在一个单一的第三方网页的iframe中。MyApp设置用于维护用户会话的cookie Set-Cookie: JSESSIONID=38FE580EE7D8CACA581532DD37A19182; Path=/myapi; Secure; HttpOnly。不久前,它在Chrome中停止工作,因为更新改变了,将没有SameSite属性的cookies的默认行为从None处理到Lax。
我将从myApp主机和SameSite=None; Secure一起发送cookie。另外,每个响应中都包含X-CSRF-TOKEN头。myApp javascri
浏览 2提问于2020-09-22得票数 7
在我的Yii2应用程序中,我使用cookies存储用户推荐代码。用户知道他们的推荐代码是什么,我想知道是否有可能派生用于散列字符串的cookie验证键。另外,如果知道cookie验证密钥,那么潜在的担忧是什么?
这是指向cookies上的Yii2指南部分的链接,如果它有助于提供更多的上下文:
浏览 4提问于2016-02-28得票数 3
回答已采纳
1回答
据我所知,应该对任何更改状态的请求进行CSRF检查。
如果是这样的话,难道不是所有的POST请求都有CSRF检查吗?
如果不是这样,有什么例外呢?
此问题的来源来自于有关使用Firebase管理会话Cookies的教程,它们在初始登录步骤中使用CSRF检查,但对以后的post请求不使用CSRF检查。
浏览 0提问于2021-05-21得票数 0
回答已采纳
2回答
双提交CSRF保护交叉域
、、、、
我不知道该如何做CSRF保护。我有独立的前端(angularjs)和后端(Spring)。它们被部署在完全不同的地方,并通过REST进行通信。
我的问题如下。角拒绝发送我的CSRF曲奇跨越域-所有我能发送的是CSRF头。我尝试将withCredentials添加到后端的角过滤器和CORS过滤器中,并设置xsrf头和cookie,如所描述的那样。
我怎么可能做错了什么?如果你想要我的代码的某些特定部分,请张贴,我将交付。
@添加相关代码:
CORSFilter
public class CORSFilter implements Filter {
public void doFilte
浏览 16提问于2015-08-26得票数 1
回答已采纳
我有一个Lagom应用程序,在这个应用程序中,我通过在项目中添加play过滤器依赖来启用play安全头。现在,当我到达服务端点时,它会给出错误: p.filters.CSRF - CSRF检查失败,因为在标头中找不到令牌。
在play文档中,当以下所有内容都为真时,Play将需要CSRF检查:
请求方法不是GET、HEAD或选项。请求有一个或多个Cookie或授权头。CORS筛选器未配置为信任请求的来源。
对我来说这三件事都是真的。禁用csrf检查对我来说不是一个选项。
我只想知道如何才能获得要在标头中发送的令牌。是否需要在配置文件中添加任何内容?
任何帮助都将不胜感激。
浏览 1提问于2019-02-14得票数 0
回答已采纳
即使提供了csrf,它只是在前端完全不承认它(注意它在后端工作得很好,但不支持前端)。
views.py:
class CheckAuthenticated(views.APIView):
def get(self, request):
if request.user.is_authenticated:
return Response("Authenticated")
else:
return Response("Not Authenticated",status=401)
浏览 10提问于2022-06-13得票数 1
回答已采纳
我在DRF视图上有一个POST请求,它继承了中间件中启用的generics.CreateAPIView和CSRF,但是尽管它没有验证我的CSRF令牌,但我不知道为什么不?
以下是我的观点:
class SchemeView(generics.CreateAPIView):
queryset = SchemeModel.objects.get_queryset()
serializer_class = SchemeModelGraphSerializer
def post(self, request, *args, **kwargs):
try:
浏览 1提问于2021-02-07得票数 0
当我们处理表单页面时,建议使用令牌来防止csrf攻击。我看到许多csrf令牌被设置为隐藏的HTML字段或在用户cookie/头文件中。我认为csrf可以防止自动攻击,但实际上,这些令牌并不能阻止黑客解析HTML/Cookies,提取crsf令牌,然后发出请求。
那么,这种保护的目的是什么呢?
浏览 0提问于2020-04-27得票数 -1
2回答
标头注入+码点火器
、、、、
我正在阅读Mozilla的安全编码准则,并发现以下声明:
Don't trust any user data (input, headers, cookies etc). Validate it before using it
我使用的是代码点火器框架,并使用以下输入和cookie(主要是内置函数):
输入
全局xss过滤设置为TRUE。
CSRF保护设置为启用。
Cookies
cookies被标记为安全。
cookies被标记为HTTPOnly
cookies是加密的
报头。这就是我遇到问题的地方。如何保护我的网站不受标头注入?还没搞清楚。
此外,在验证用户输入(如密码等)时,我想
浏览 0提问于2012-05-09得票数 1
回答已采纳
你好,我对python非常陌生,并试图在下面调试此错误。这个脚本基本上是在我的Gitlab端点上创建一个PAT (个人访问令牌)。
Traceback (most recent call last):
File "/Test/test-gitlabtoken.py", line 86, in <module>
main()
File "/Test/test-gitlabtoken.py", line 79, in main
name = sys.argv[1]
IndexError: list index out of ran
浏览 4提问于2022-03-16得票数 0
回答已采纳
2回答
我有以下系统在我的网络应用程序,我想知道它是否安全。
Cookie包含CSRF令牌。
应用程序检测cookie中的CSRF令牌。
应用程序将令牌放置在标头中。
服务器对标头中的令牌进行验证。
我还没有看到任何关于是否可以使用cookie作为存储CSRF令牌的地方的确切信息。请指点我。
编辑:更详细的角度查找cookies中的CSRF令牌,当它找到一个标记时,它会添加一个带有此值的标头。然后,服务器确定标头值是否合法。
浏览 0提问于2015-07-09得票数 3
views.py
class ExtendUserSession(MiddlewareMixin):
"""
Extend authenticated user's sessions so they don't have to log back in
next 15 minutes (set by Django's default `SESSION_COOKIE_AGE` setting).
"""
def process_request(self, request):
浏览 8提问于2022-07-07得票数 0
1回答
Django Rest框架
、、、、
我正在使用Django Rest Framework为我的应用程序构建API,并希望实现DjangoRestFramework来进行令牌身份验证。这些步骤看起来很简单,但是当我测试端点时,我得到了一个500错误。终端输出是大量的html,表示没有提供csrf_token。代码和错误在下面。非常感谢你的帮助。
curl -X POST -d "username=admin&password=123abc" http://127.0.0.1:8000/api/token/auth/
CSRF误差
<!DOCTYPE html>
<html lang=
浏览 1提问于2015-07-29得票数 7
回答已采纳
我正在我的React应用程序中设置CSRF,并尝试访问由我的Node服务器设置的cookie。
我正在使用universal-cookie来尝试读取cookie。我可以接触到一些饼干,但不是我需要的。
饼干看起来像:
csrf_token_secret=s%3AXfLOSTp6QNLTeRk;
Path=/; Expires=Tue, 20 Mar 2018 12:34:34 GMT; HttpOnly
_csrf=PqswrVPP4GUePCh-0fFewrHh; Path=/
使用universal-cookie,我尝试了:
const cookies = new Cookies();
浏览 0提问于2018-03-20得票数 2
回答已采纳
我已经做了很多年的后端开发人员,但是现在我也想学习前端,所以我选择React作为我的前端框架开始。我花了两天时间学习使用Axios向Django Rest Framework后端发送来自React应用程序的请求,我与csrf cookie问题发生了冲突。到目前为止,我已经发布了几个问题,最后,我能够发送一个被backend...only接受的正确的格式请求,以获得一个Forbidden (CSRF token missing or incorrect.)错误。
我想我获得和使用csrf令牌的方法可能不是正确的方法,所以我希望您能指出我的错误并教我解决它。
首先,我向后端发送一个GET请求,唯一
浏览 0提问于2019-01-08得票数 0
1回答
在下面的例子中,您是否可以将输出作为我的结论所依据的注释。
基于第一个,我说cookies正在工作,因为它想将我重定向到/project。
问题
既然我能看到饼干在工作,为什么我会被禁止使用403?
user='testtest2@testtest2.com'
pass="a"
url="https://www.sharelatex.com"
zip="$url/project/579ba5e03cd63aa32d8bf922/download/zip"
cd /tmp
rm cookies.txt p.zip
csrf=
浏览 2提问于2016-07-29得票数 1
回答已采纳
我试图从原始文本中获取CSRF令牌,基本上,我在页面上有很多文本数据,该页面上几乎有5-10个CSRF令牌,我只想从文本中获取一个csrf令牌,然后保存到PHP变量中。
<?php
$url = "--";
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_FOLLOW
浏览 3提问于2022-03-24得票数 -1
回答已采纳
我想尝试使用CSRF令牌登录到node.js服务器,但它不工作,我不知道该考虑使用哪个csrf令牌。
以下是cookie信息:
>>> client.cookies
<RequestsCookieJar[
Cookie(version=0, name='user.sid', value='s%3Ay-JiI_2cPs0jsnVb_g_KJCU-k9GrGISm.O6SSmsVEMmTzaTWM7btqaZZGUs2WvkZTDc9VfaWlikE', port=None, port_specified=False, domain=
浏览 4提问于2017-06-30得票数 0
2回答
我的大部分GET请求都是由角触发的,这使得在标头中设置CSRF令牌变得很容易。这已经为POST请求提供了现成的服务,但是我想知道我是否也可以对GET请求使用CSRF保护。
我最初的直觉是在视图的get方法之前添加@csrf_protect,例如:
class ProjectView(View):
@csrf_protect
def get(self, request, *args, **kwargs):
...
但是,这会产生错误:
AttributeError at /project
'ProjectView' object has no at
浏览 4提问于2013-04-02得票数 1
回答已采纳
1回答
我正在尝试从这个中获取结果。在POST request中,除了trip代码和日期之外,还有_csrf参数,我假设它是一个CSRF token。我尝试获取会话cookie并在CSRF token后面提取,但返回的cookie没有CSRF token
<RequestsCookieJar[<Cookie JSESSIONID=W33kBCH5zFsyVhTyQL9L4Ibyq-KLGTBSD4h_IUNA.aru-270545 for www.booking.alilaurogruson.it/booking>]>
def get_session_cookie():
浏览 8提问于2021-03-22得票数 0
回答已采纳
我正在尝试使用ReactJS在web应用程序上验证我的会话。我的后台是在Django上设置的。当登录到应用程序时,我确实收到了标题中的cookies,但是我无法设置cookies。然而,当我尝试发布请求'withCredentials: true‘时,它返回了403错误。
登录调用(我在其中接收响应头中的cookie)
let url = `${BASE_URL}/login/`;
console.log('params for validateOtp:', params);
axios
.post(url, params)
.t
浏览 40提问于2021-02-18得票数 0
我正在用Angular.js实现一个网站,它正在访问一个ASP.NET WebAPI后端。
Angular.js有一些内置的功能,可以帮助进行抗csrf保护。对于每个http请求,它将查找名为"XSRF-TOKEN“的cookie,并将其作为名为"X-XSRF-TOKEN”的标头提交。
这依赖于set服务器能够在对用户进行身份验证之后设置XSRF-TOKEN cookie,然后检查传入请求的X-XSRF-TOKEN标头。
声明:
要利用这一点,服务器需要在第一个HTTP GET请求时在名为XSRF-TOKEN的JavaScript可读会话cookie中设置一个令牌。对于后续的非
浏览 96提问于2013-03-22得票数 71
回答已采纳
1回答
我有一个Rails API,它是通过一个仅使用http的cookie进行身份验证的,因此我需要CSRF保护。据我所知,Rails社区似乎更喜欢将jwt auth令牌存储在本地存储中,而不是在cookie中。这避免了对csrf的需求,但将您暴露给XSS,这就是我们选择使用cookies + CSRF的原因。
由于社区对本地存储的偏好,似乎默认禁用了CSRF保护。我正在努力使它取得有限的成功。以下是我试图处理它的方法:
module V1
class ApplicationController < ::ApplicationController
include Concerns:
浏览 0提问于2017-04-10得票数 4
回答已采纳
2回答
TLDR;如果客户端有经过身份验证的会话,那么我的帖子(发送到DRF端点)似乎只受CSRF保护。这是错误的,将应用程序选项留给 攻击。我怎样才能解决这个问题?
我开始为一个ReactJS前端构建一个django rest框架API,我们希望通过API来处理所有事情,包括身份验证。我们正在使用SessionAuthentication。
如果我有一个经过身份验证的会话,那么CSRF完全可以正常工作(当客户端应该有一个CSRF cookie集时,这需要与POST数据中的csrfmiddlewaretoken令牌配对)。
但是,当未通过身份验证时,似乎没有帖子要接受CSRF检查。包括已经创建的(基
浏览 0提问于2018-03-14得票数 11
回答已采纳
1回答
我使用以下基于的代码将身份验证cookie存储在文件中。这使我可以避免每次运行程序时都要登录。
现在,从常规会话cookie中获取csrftoken运行良好,但是当我尝试使用csrf = s.cookies['csrftoken']从cookiejar获取它时,我得到
AttributeError: LWPCookieJar instance has no attribute '__getitem__'`
我理解这种情况的发生是因为我将s.cookies视为一个列表,即使现在它是一个LWPCookieJar对象。我想这给我留下了两个选择:
以下任一项:
从L
浏览 0提问于2014-11-12得票数 4
回答已采纳
1回答
我正在测试一个web应用程序。CSRF在cookies和header中应用和发送,而不是以隐藏输入的形式发送。csrf令牌不会为每个请求更改,但会在会话期间更改。csrf令牌应该多久更改一次?它应该针对每个会话还是每个请求进行更改?应该由客户端还是服务器设置csrf令牌?应用csrf保护的最佳策略是什么?双重提交cookie?三次提交Cookie?或任何其他新策略?
浏览 2提问于2018-12-07得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
