CSRF同步令牌模式在ASP.net webform应用程序中的实现,我已经在aspx页面中添加了这个<%= System.Web.Helpers.AntiForgery.GetHtml() %>,并现在,我需要在100+页面和多个应用程序中实现类似的更改。在当前的框架中,我为每个页面视图提供了基类
浏览 47提问于2017-08-21得票数 1
2回答
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止CSRF攻击:https://www.owasp.org/index.php/SameSite。如果支持,我们是否应该实现同步器令牌模式来防止CSRF攻击?https://www.owasp.org/index.php/Cross-Site_请求_伪造_(CSRF)_预防_作弊_Sheet#Synch
浏览 0提问于2019-01-13得票数 2
回答已采纳
观察CSRF的应用。}"</form>该应用程序的工作原理很好,它在加载/呈现jsp页面之前拦截任何URL,并询问登录控件是如何预期的,如果用户已经记录了有关授权的控件,当CSRF被应用到ajax "/ajax/notification&quo
浏览 2提问于2017-09-21得票数 0
回答已采纳
我正在构建一个Next.js应用程序,在其中一个页面上,我需要调用一个/api路由。
当进行提取
浏览 35提问于2022-08-10得票数 1
回答已采纳
我有一组REST服务,它们由CSRF使用类似于OWASP的同步器令牌模式( )来保护。* REST是使用Java和JAX-RS实现的*安全性是使用Security令牌实现的* HTTP、POST和DELETE受到保护
在我的Web启动时,我在HTML页面中写入正确的CSRF令牌,然后应用程序将令牌</e
浏览 0提问于2014-02-07得票数 2
回答已采纳
我听说CSRF预防技术对Web来说是不自然的。
例如,我们可能在domainA上有一个实现两个同步令牌模式和Cookie-模式的客户端应用程序。当客户端发布到domainB上的资源服务器时,资源服务器需要验证这些安全值,而且由于资源服务器不知道预期的同步令牌值或cookie到标头值,所以很难验证这些值。也就是说,资源服务器可以使用与验证访问令牌相
浏览 0提问于2016-09-29得票数 3
为了防止CSRF,我想在我的经典asp应用程序中实现同步器令牌模式。此外,它应该以任何方式进行散列吗?多么?
谢谢你的任何提示...
浏览 0提问于2011-06-21得票数 3
回答已采纳
2回答
我目前正在开发一个网页,并偶然看到关于双提交曲奇的OWASP备忘单。我现在认为这是个好主意,但我不明白为什么不将CSRF令牌存储到登录用户的会话变量中,并将其显示在隐藏字段中的页面上。这个想法的缺点是什么?你为什么要把钱放在自己的饼干里,然后被偷呢?如果你将攻击面存储在服务器端,你不是在最小化攻击面吗?
浏览 0提问于2019-02-20得票数 0
回答已采纳
我读过,MVC防伪造令牌通过将安全令牌存储在表单字段中,然后将浏览器自动发送的默认标头/cookie值与MVC在每个请求中设置的字段值进行比较,从而击败CSRF攻击。由于恶意网站将不知道为存储令牌的字段提供什么值,因此CSRF攻击失败。
那么,在头中存储令牌有什么意义呢?您就不能手动将令牌存储在Javascript的每个请求上的表单字段
浏览 0提问于2017-05-11得票数 2
回答已采纳
我们在应用程序中使用了Spring安全框架,特别是为了防止它受到CSRF攻击。
请求被中止,响应<em
浏览 0提问于2014-05-14得票数 0
1回答
存储“记住我”曲奇和CSRF保护
、、、、
我一直读到“记住我”的cookie存储在"httpOnly“cookie中,所以JavaScript/XSS无法访问它们。但是,"httpOnly“cookie容易受到CSRF攻击的攻击,因为它们是与请求一起自动发送的。
为了减轻CSRF攻击,建议使用同步令牌模式(让服务器生成csrf令牌并与客户端交叉校验)。我的问题是,如果有“记住我”的</
浏览 0提问于2016-05-30得票数 1
回答已采纳
对于反CSRF加密令牌模式,OWASP页面将预加密令牌描述为由三项组成:用户ID、时间戳值和时间。但是,实现只由UserId和时间戳组成的令牌的加密令牌模式会有什么问题,而
浏览 0提问于2015-11-12得票数 1
我试图对我的服务器(Localhost)执行一些REST调用,使方法正常工作,但是,当我试图通过postman方法POST、PUT、DELETE不工作时,当我再次尝试禁用http上的csrf令牌时,它写着这是我的休息控制器。Override
http.csrfaccessDeniedPage("/a
浏览 1提问于2019-06-04得票数 0
回答已采纳
我一直在开发一个ASP.NET MVC 4 web应用程序,它使用MVC AntiForgeryToken来防止CSRF攻击。最近,应用程序被一家安全公司审计,他们声称在我们正在使用的AntiForgeryToken中发现了一个漏洞。问题是令牌没有完整性检查。可以稍微修改令牌,并且它仍将作为有效的令牌传递。是否可以扩展基本的ASP.NET MVC AntiForgeryToken,使其包括完整性检查
浏览 1提问于2013-11-19得票数 1
回答已采纳
在响应中,我得到了一个错误:因此,后端必须已经验证了csrftoken。在后端数据库中,我找不到csrftoken字段:所以我想知道它保存在加密的session_data中的位置
浏览 1提问于2018-03-15得票数 6
在同步器令牌模式中,服务器生成一个随机令牌,客户端每次提交表单时都必须提交该令牌。客户端如何知道在服务器中创建的CSRF令牌?
浏览 0提问于2017-10-08得票数 1
3回答
根据跨站点请求伪造(CSRF)预防备忘单的说法,保护网站免受CSRF攻击的推荐解决方案是实现同步器令牌模式。这就要求令牌是随机的或唯一的。
最近,我们正试图将其应用到我们的网站上。我的一所大学希望通过加密当前登录用户的id来生成令牌,并将时间戳与安全保存的密码连接起来。然后将令牌</e
浏览 0提问于2013-01-11得票数 6
回答已采纳
2回答
在隐藏表单字段中实现CSRF令牌是CSRF对表单post请求的标准保护。
但是,对于GET请求,您将如何实现它?这些类型的事情都是逐案处理的吗?
浏览 3提问于2012-08-23得票数 0
我有一个MVC应用程序,它使用了AntiForgeryToken的ASP.NET MVC功能。AFAICT --它使用加密的同步器令牌变体来验证令牌的有效负载。一个客户质疑这些令牌不会过期的事实,如果捕获了,那么对于给定用户的会话仍然是有效的。我想
浏览 0提问于2017-09-11得票数 2
回答已采纳
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
