1回答
我想知道在保护J2EE应用程序免受CSRF攻击方面有哪些库。
我使用过OWASP的CSRF Guard。我试着搜索,但找不到任何其他的产品质量库。还有其他的吗?顺便说一句,我正在构建的应用程序使用的是Grails框架,所以如果有Grail的CSRF插件,我也想知道。
浏览 2提问于2011-07-19得票数 1
1回答
我在grails 2.2.1上工作。我已经通过了许多关于CSRF的链接,以便在我的项目中实现。
现在,回到我的问题上。我想使用已经存在的RequestHeaderFilter.groovy文件。我想使用请求头部来验证原始头部。 before = {
浏览 17提问于2017-08-01得票数 1
1回答
我想防止我的应用程序受到XSS和CSRF攻击,我想做一些全局检查以防止这些攻击。我在statup文件中使用了ConfigureServices函数中的以下代码,它可以防止CSRF攻击,但我不确定这是否足以防止这两种攻击,或者是否需要编写一些代码来分别防止XSS攻击。
浏览 1提问于2020-03-03得票数 0
2回答
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止CSRF攻击:https://www.owasp.org/index.php/SameSite。如果支持,我们是否应该实现同步器令牌模式来防止CSRF攻击?https://www.owasp.org/index.php/Cross-Site_请求_伪造_(CSRF)_预防_作弊_Sheet#Synch
浏览 0提问于2019-01-13得票数 2
回答已采纳
1回答
假设我有一个web应用程序,在其身份验证方案中使用了JWT令牌和CSRF令牌。据我所知,它是这样运作的:
当客户机提出任何未
浏览 0提问于2018-11-29得票数 1
2回答
我的问题是关于XSS/CSRF攻击的ASP.NET MVC 5。但此令牌只能与POST请求一起使用。根据我的测试团队,为了防止CSRF攻击,每个请求都应该有一个令牌号,并且他们只要求有POST请求,而不是一个GET请求。所以我的问题是:
我们是否需要只为了防止</e
浏览 6提问于2014-07-07得票数 1
回答已采纳
3回答
为了防止CSRF攻击,创建一个加密的cookie是否可以防止CSRF攻击?此外,还要对照目标来源检查推荐人。我不能更改1000 s的页面以将令牌嵌入到每个提交中,而且我也没有会话状态。
浏览 0提问于2016-11-15得票数 1
防止CSRF的常用方法是使用隐藏在表单中的令牌。仅仅出于好奇心,这是真正防止CSRF的唯一方法吗?人们争论不需要CSRF令牌让我发疯,我需要理解为什么。我还能怎么防止CSRF攻击呢?
浏览 2提问于2013-03-10得票数 5
当我们处理表单页面时,建议使用令牌来防止csrf攻击。我看到许多csrf令牌被设置为隐藏的HTML字段或在用户cookie/头文件中。我认为csrf可以防止自动攻击,但实际上,这些令牌并不能阻止黑客解析HTML/Cookies,提取crsf令牌,然后发出请求。
那么,这种保护的目的是什么呢?
浏览 0提问于2020-04-27得票数 -1
1回答
这种方法在CSRF攻击中也是安全的,因为即使表单提交攻击可以进行/refresh_token API调用,攻击者也无法获得返回的新JWT令牌值。第二篇文章说的是类似的东西:
我正在努力了解如何防止CSRF的</em
浏览 4提问于2021-01-24得票数 6
1回答
假设我的web应用程序使用CSRF令牌来防止CSRF攻击,另外,它使用SSL,并且不受XSS攻击的影响。此外,为了这个问题的目的,假设它仅在最近的浏览器中使用,并且它们没有bug。我可以通过一个X帧选项来防止基于帧的点击:拒绝标题,但是我看不出它会提供什么额外的保护,因为任何基于帧的表单提交都缺少CSRF令牌。(相同来源的策略<
浏览 5提问于2013-06-09得票数 5
回答已采纳
我知道他们说CSRF令牌是防止CSRF攻击的最安全的方法,但是如果有人使用XHR检索包含csrf令牌的页面以及表单,然后使用该令牌进行攻击呢?为什么他们不说“引用”标题是最安全的方式,以防止CSRF的攻击?毕竟,几乎99%的当前正在使用的浏览器将提供"Referer“报头,而攻击者无论如何也无法更改它
浏览 0提问于2020-03-26得票数 3
回答已采纳
2回答
我一直在读关于修正CSRF攻击的文章。从一些研究中我了解到,检查非标准报头将防止CSRF攻击.因为浏览器不会自动发送这样的头。基本上我有两个问题。这种方法能有效地防止</e
浏览 0提问于2017-11-01得票数 10
回答已采纳
我目前正在研究CSRF和DNS重新绑定攻击,我想知道确切的区别是什么。据我所知,DNS重新绑定可以绕过CORS,从而从侦听本地主机上的服务获得攻击者无法获得的信息。然而,CSRF只允许攻击者欺骗用户对本地主机上侦听的服务执行特定操作,但不允许任何信息提取(因为CORS将阻止这种操作)。对吗?
此外,什么是保护机制,以防止CSRF和DNS重新绑定?CSRF可以通过反csrf<
浏览 0提问于2019-04-16得票数 2
2回答
我对反射XSS的理解是假设我的webapp在服务器上有一个CSRF验证,检查所有请求的有效CSRF令牌。如果它收到任何不包含CSRF令牌<e
浏览 0提问于2014-08-27得票数 10
回答已采纳
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。在我发现的一些示例代码中,基本上找到了这个算法。受害者访问应用程序:
前端(安全):发送带有登录cookie和CSRF HTT
浏览 3提问于2021-01-22得票数 6
我在一个非常旧的struts应用程序中使用saveToken / isTokenValid。我已经能够实现saveToken和isTokenValid属性来防止CSRF攻击,但是如果我按下BACK按钮,然后尝试提交相同的表单,我就会出错。在struts中,是否有可能使用这些实用程序来防止CSRF攻击,但允许返回并重新提交表单?
浏览 0提问于2013-07-24得票数 0
1回答
我在我的网站上默认使用csrf保护。网站上有一些表单,允许用户将数据发送到DB (如评论)。
正如你所知道的- csrf保护足以防止攻击和注射?
浏览 3提问于2016-01-15得票数 0
回答已采纳
2回答
如何防止跨站点请求伪造攻击?
、、、、
该工具检测到一些易受跨站点请求伪造攻击(CSRF)攻击的CGI文件。我想知道如何以一种通用的方式将这个模块集成到我们的应用程序中?如何配置此模块并进行最小的更改,以确保整个应用程序从CSRF中得到保护。
我还遇到了 (一个防止CSRF的Apache模块)。在apache配置文件
浏览 7提问于2016-09-01得票数 5
回答已采纳
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
