Rest-auth仍然报告"CSRF cookie未设置“的错误,但我已经设置了csrf
CSRF(Cross-Site Request Forgery)是一种常见的网络安全漏洞,攻击者通过伪造用户的请求来执行恶意操作。为了防止CSRF攻击,Web应用程序通常会使用CSRF保护机制。
在使用Rest-auth时,如果报告"CSRF cookie未设置"的错误,可能是由于没有正确设置CSRF cookie导致的。下面是一些可能的解决方法:
- 确保在使用Rest-auth之前已经启用了Django的CSRF中间件。在settings.py文件中,确保'django.middleware.csrf.CsrfViewMiddleware'在MIDDLEWARE中的位置正确,并且没有被注释掉。
- 确保在前端请求中包含了正确的CSRF token。在使用Rest-auth时,可以通过在前端的请求头中添加'X-CSRFToken'字段来传递CSRF token。具体的实现方式可以参考Rest-auth的文档或示例代码。
- 检查是否正确设置了CSRF_COOKIE_SECURE和CSRF_COOKIE_HTTPONLY参数。CSRF_COOKIE_SECURE参数用于指定是否只在HTTPS连接中传递CSRF cookie,而CSRF_COOKIE_HTTPONLY参数用于指定是否将CSRF cookie标记为HttpOnly。根据具体的需求,可以适当地调整这些参数的设置。
- 确保在使用Rest-auth时,没有自定义的CSRF保护机制与之冲突。如果有自定义的CSRF保护机制,可能需要进行相应的调整或排除。
总结起来,解决"CSRF cookie未设置"的错误可以从以下几个方面入手:确保启用了Django的CSRF中间件、正确传递CSRF token、检查CSRF_COOKIE_SECURE和CSRF_COOKIE_HTTPONLY参数的设置、排除与Rest-auth冲突的自定义CSRF保护机制。
关于Rest-auth的更多信息和使用方法,你可以参考腾讯云的相关产品文档:Rest-auth产品介绍。请注意,这里提供的链接地址仅为示例,实际应根据实际情况进行调整。
相关·内容
我尝试使用Django rest-auth包实现身份验证(登录/注册)功能。
url(r'^rest-auth/', include('rest_auth.urls')),
url(r'^rest-auth/registration/', include('rest_auth.registration.urls')),
但是当我尝试发布rest-auth urls时,它给出了错误:
然而,在Nodejs中,我已经使用'csurf‘包设置了csrf标记,
const cookieParser = require(
浏览 2提问于2017-02-08得票数 0
回答已采纳
1回答
这是这个问题的延续:
The code I used for server.js is:
const cookieParser = require('cookie-parser');
const csrf = require('csurf');
app.use(cookieParser());
app.use(csrf({ cookie: true }));
app.use(function (req, res, next) {
res.cookie('csrfmiddlewaretoken', req.csrfToken());
nex
浏览 2提问于2017-02-07得票数 0
回答已采纳
我正在使用带有rest框架、rest-auth和allauth、带有React前端的Django 2.0.10。Rest-auth使用JWT令牌身份验证提供登录和注销功能,但是我不知道如何允许用户请求重新发送验证电子邮件。 我希望用户能够登录并按下一个按钮说“重新发送确认电子邮件”。例如,如果他们不小心删除了电子邮件,他们需要能够请求另一个电子邮件。 我看过一些帖子建议你可以从allauth中使用send_email_confirmation,但这需要一个由模板生成的CSRF令牌。我试着从csrf中剔除following the docs,但这并没有什么不同。我还尝试了设置authentic
浏览 28提问于2019-02-03得票数 10
回答已采纳
1回答
代码点火器CSRF有时会抛出错误
、、、、
首先,这个很少发生。表单本身已成功提交了500+时间。我们收到了大约3份报告,其中用户遇到了“一个错误:您请求的操作是不允许的”。
这个特定的错误可以在Security php代码中找到,并且只有当 csrf令牌不mach时,或者当其中一个或两者(cookie/post)缺少时,才会显示。
下面是一些相关的配置值:
$config['cookie_prefix'] = 'prefix_';
$config['cookie_domain'] = '';
$config['cookie_path'] = '/&
浏览 3提问于2016-02-19得票数 0
回答已采纳
我打开了CI CSRF保护,它在http上运行得很好。一旦我打开了https (通过将站点的基本URL更改为https,并将所有流量从http重定向到https),我开始看到:
csrf token is missing on request
日志中的错误。Codeigniter在两种情况下报告此错误:
1) csrf令牌不在POST请求中2) csrf令牌cookie未设置或已过期。
我们所有的post请求(主要是AJAX)都有一个csrf令牌,因为我们的自定义ajax函数默认包含它,所以我认为它必须是#2。另外,我已经尝试了配置,选择了安全和非安全cookie设置,在两种情况下都会得到这个
浏览 0提问于2012-07-25得票数 2
csrftoken存储在哪里?
当我访问一个API端点(注销API,它不需要params):
POST /rest-auth/logout/ HTTP/1.1
Host: 10.10.10.105:8001
Connection: keep-alive
Content-Length: 0
Accept: application/json, text/plain, */*
Origin: http://localhost:8080
Authorization: Token 0fe2977498e51ed12ddc93026b08ab0b1a06a434
User-Agent: Mozilla/5
浏览 1提问于2018-03-15得票数 6
1回答
我正在遵循firebase文档中的一个示例,但我一直收到错误。我已经设法解决了大多数问题,但我经常收到错误,说找不到csrfToken cookie。
我尝试了不同的cookie库,并在浏览器中进行了检查,但我仍然没有发现提到csrfToken cookie。
我提交的代码(客户端):
$("#submit").click(function() {
firebase.auth().signInWithEmailAndPassword($("#pEmail").val(),
$("#pPass").val()).then(user =>
浏览 14提问于2018-07-21得票数 0
1回答
当涉及到CSRF验证时,我的当前开发设置有点问题。由于我同时运行一个角开发服务器和django开发服务器,并且(自然)需要向后端发送请求,CSRF就成了一个问题。Django通常在用户连接时发出令牌,但是现在前端和后端已经断开,所以我无法自然地获得CSRF令牌。
我现在尝试的是添加一个@csrf_exempt修饰函数,以便能够获得cookie,也可以用@ensure_csrf_cookie来装饰这个函数。我遇到的问题是,在为请求设置适当的头部以包含CSRF令牌时,服务器仍然会返回一条消息,声明不包括CSRF cookie (扯淡!)。
因此,我的问题首先是如何正确设置CSRF令牌的标题,这是我
浏览 0提问于2018-03-11得票数 0
回答已采纳
我使用djangorestauth作为后端,它返回的令牌不会立即保存在通用cookie的cookie中。我有这个登录账号:
const handleLogin = (e) => {
e.preventDefault();
setIsClicked(true);
const csrftoken = getCookie("csrf");
const url = "http://localhost:8000/rest-auth/login/";
const cookies = new Cookies();
fetch(url, {
method:
浏览 0提问于2020-08-10得票数 0
我正在尝试发送一个JSON POST请求到我的Django服务器。 它报告这个错误:Forbidden (CSRF token missing or incorrect.): 在我的Django模板options.html中,我这样说: <script>const incomingToken = "{{ csrf_token }}";</script> 还有这个: <input type="hidden" name="csrf-token" id="csrf-token" value="{{
浏览 42提问于2020-09-17得票数 0
我知道这个问题很流行,在问它之前,我研究了之前的所有问题和答案,但从来没有为自己找到解决办法。
我的问题是,我试图在我的应用程序中完全删除csrftoken验证。我理解在这种情况下打开的漏洞,但这对我来说并不重要。在开发过程中,由于csrftoken在我的计算机上没有出现错误,我是在windows上开发的,但是当我在apache linux上运行它时,这个错误才会出现,只有当我编辑一个已经存在的post (在创建一个新的帖子时没有问题),我很难想象为什么只在一个apache linux服务器上发生这种情况,我使用端口进行传输。
出于同样的原因,我决定从我的应用程序中删除csrftoken,在我
浏览 3提问于2022-05-11得票数 0
因此,我尝试在Google collab上运行我的Django web程序,该程序基于本教程
我做到了网络可以运行!
但是,如果我想做POST,总是会出现这样的错误
禁止(CSRF cookie未设置):/ 22/Feb/2022 02:13:47 "POST / HTTP/1.1“403 2864
我已经尝试了一些解决方案,比如将CSRF_COOKIE_SECURE = True放在settings.py中,但仍然不起作用,我也把@csrf_token放在了我的表单上,它仍然不起作用。
我也想试试这个解决方案
from django.views.decorators.csrf
浏览 12提问于2022-02-22得票数 0
1回答
我使用React单页应用程序作为客户端,或者创建React (CRA)。
在我的后端,我使用Node.js & Express。
为了获取数据或存储,我需要从客户端到后端调用API。
实际上,我已经看到了一些中间件,比如:- Express CSURF
但老实说,我不知道如何向客户端发送每个请求的CSRF令牌。我已经尝试过几次,方法是将CSRF插入到cookie中,然后在客户端使用它。但是,当存储第一个请求或新cookie时,我会得到错误Invalid CSRF Token。
即使我这么做了
app.use(session({
genid: function (req) {
浏览 1提问于2019-02-07得票数 23
我目前有一个Django Rest框架后端在家里的一台计算机上运行,还有一个AngularJS前端,它们都在不同的ips上运行。当我向rest-auth/login发出请求时,它返回一个包含会话id的Set头,以及一个csrftoken,http只为而不是 true。
Set-Cookie:csrftoken=SOMECSRFTOKENHERE; expires=Fri, 09-Jun-2017 01:25:16 GMT; Max-Age=31449600; Path=/
在随后的任何post请求或get请求中,我注意到有一个名为Cookie的标题,如下所示:
csrftoken=SOMECS
浏览 1提问于2016-06-10得票数 1
1回答
我正在尝试使用Django Rest框架构建一个单页面应用程序。对于身份验证,我使用了一个登录视图,它启动一个会话,并要求所有api路由上的csrf保护。因为没有进行模板操作,所以从未使用过csrf_token标记,所以我必须使用get_token手动获取令牌。我不想把它放在主视图中给出的主索引文件中,而是把它设置在它自己的cookie上。不,这不是django提供的CSRF Cookie,因为那个有CSRF密钥,再加上我提到我正在使用会话,所以密钥存储在那里。此cookie将具有用于所有变异请求的令牌。
我想尽一切办法让django接受这个cookie,但都没有成功。我可以很好地第一次登录,
浏览 3提问于2019-04-26得票数 2
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。
为了防止这种情况,我们可以使用双提交cookie哈希。
在我发现的一些示例代码中,基本上找到了这个算法。
受害者访问应用程序:
后端:生成与登录cookie相关的登录cookie和散列字符串
前端:将散列字符串存储到第二个cookie中(例如: CSRF-token cookie)
前端(安全):发送带有登录cookie和CSRF HTTP报头的请求,其中标头值是从CSRF令牌cookie中提取的。
攻击者:
使用某种社交媒体工程让用户点击恶意链接,其中恶意链接使用会话cookie。
浏览 3提问于2021-01-22得票数 6
我想知道Django总是抛给我的CSRF Cookie not set错误是怎么回事。我创建了一个视图(见下文),它是一个付款回调。我对发送给该视图的内容没有任何影响。我已经查看了StackOverflow上的其他帖子,但我不认为任何帖子适用于我。他们中的大多数人可以只在他们的表单中实现csrf保护,csrf_exempt他们的视图,或者他们使用rest_framework。
class PaymentWebhook(View):
def post(self, request, *args, **kwargs):
# ...
现在,当我对这个函数不做任何操作时,我每次
浏览 0提问于2017-04-08得票数 1
大多数这样的答案都要求清除cookies并确认中间件类。我已经试过了。
Python3.4
Django - 1.10
使用VirtualEnv。
我在Django管理员登录屏幕上得到了Forbidden (403) CSRF verification failed. Request aborted.错误。我在pythonanywhere.com上托管了我的站点,使用django 版本1.9。
我已经清除了浏览器cookie。他们所有人。
我重新加载了登录屏幕。收到请求。
在到目前为止为空的浏览器cookie中,为我的网站设置了一个值,其中csrf = XPp5hAhylAkt27
浏览 1提问于2017-01-22得票数 5
回答已采纳
我在Django项目中包含了Recaptcha v3,但是遇到了以下错误:
“通过指定cookie的SameSite属性,指示是否在跨站点请求中发送cookie”
我尝试过在中跟踪答案,甚至提到了,但我一直未能解决这个问题。
首先,我进去了
CSRF_COOKIE_SAMESITE = "random"
在settings.py中检查是否会被识别并导致错误,因此我将其更改为
CSRF_COOKIE_SAMESITE = "none"
后来我收到了一个更细微的错误-
将跨站点cookie标记为安全,以便在跨站点上下文中设置它们。
接下来,我按照CS
浏览 22提问于2022-06-12得票数 0
回答已采纳
3回答
Django注释CSRF错误
、、、、
得到一个csrf错误,我不知道如何修复,我有休息的工作,用户能够更新他们的详细信息如下:
但是对于,我使用相同的csrf令牌错误获得这个csrf错误:
我想消除/comments/post/终结点上的错误,这样这个端点的行为类似于/rest-auth/ user / view,该视图接受“授权:令牌792b5fb27b4fe805e895c91274f26b6ab13c654”标头字段,以便向经过身份验证的用户提供相关数据。
以下是csrf相关解码器对屏幕截图中显示的各自视图的使用:来自/comments/post/终结点
@csrf_protect
@require_POST
浏览 9提问于2015-12-15得票数 1
回答已采纳
1回答
一般来说,CSRF保护意味着:“将<input type=hidden>与用户会话中的值进行比较”(有时是用户cookie)。
现在,假设我希望我的应用程序/网站与iframe兼容(同时仍然保护我免受CSRF“会话骑乘”攻击)。
但是,较新的浏览器版本将禁用在iframes中设置cookie。Chrome在2021年的路线图中有这一点,他们已经在匿名标签(见这个答案)中实施了这一点。
这意味着,iframe中的每个导航事件(单击链接或发布表单)都会创建一个新的会话ID (因为浏览器将忽略Set-Cookie: MY_FRAMEWORKS_SESSION_ID )。
所以..。我们该
浏览 0提问于2020-09-17得票数 3
回答已采纳
首先,我应该说,我检查了stackoverflow上所有与我的主题有一定联系的线程,但我仍然无法获得有效的解决方案。所以,现在当我尝试提交一个表单时,我得到了错误:'Forbidden (403). CSRF verification failed. Request aborted....'。我是这样做的:
var frm=Ext.create('Ext.form.Panel',{
method:'POST',
standardSubmit:false,
items:[{
xtype:'texta
浏览 0提问于2014-11-02得票数 0
我想我已经安排好了,但如果我错了,我很想听听。我们有一组Python+Angular.js应用程序,它们使用JWT令牌进行身份验证,其中令牌使用秘密密钥进行加密,有效负载标识用户,令牌存储在cookie集中,仅为HTTP,并且是安全的。由于各种原因,这对我们来说很好,我们可以跨多个API后端使用一个Python中间件应用程序,我们的令牌会在每个请求中自动发送到域,并且我们可以完全绕过使用会话。我已经在这里和其他地方检查过这个部分,我相信它是好的。(我的问题是:http_只适用于带有JWT令牌的cookie )
我的新问题是如何处理CSRF令牌,因为我们根本不使用会话。我的想法如下:
在上面描述
浏览 0提问于2016-12-28得票数 3
回答已采纳
我正在编写一个Ruby脚本,将内容摄取到Drupal 7中。这是在我的本地机器上。我正在使用服务模块及其rest服务来获取和发布。我可以登录并获取csrf令牌和cookie信息,但是当我试图发布一个新节点时,我会得到一个403错误。我检查了本地apache访问和错误日志。没有列出错误,访问日志只报告状态。到目前为止,这是我的代码:
require "rest-client"
require "json"
node = create_node(node_hsh)
node_json = JSON.generate(node)
response = RestCli
浏览 0提问于2015-08-04得票数 1
我正在用Django rest-auth和allauth创建一个注册系统。在查看文档端点时,我只使用了: urls.py app_name = "apis"
urlpatterns = [
path('users/', include('users.urls')),
path('rest-auth/', include('rest_auth.urls')),
path('rest-auth/customlogin', CustomLoginView.as_view(),
浏览 35提问于2019-09-15得票数 1
我正在开发两个独立的django (版本3.1)项目。我一直得到一个"403: CSRF cookie未设置“错误,并且不知道问题是什么。
项目1正在Apache服务器上运行&接收包含JSON数据的POST请求,并返回一个JSON响应。
项目2,运行在本地主机上,通过Javascript XMLHttpRequest()函数将帖子发送给项目1。
,但我试图在不同的URL之间发送信息(更具体地说,从localhost:8000,最终是url.com发送到engine.url.com),我不认为用户的解决方案对我有用。
我试过在项目1的@csrf_exempt vi
浏览 4提问于2021-02-03得票数 0
2回答
我的cookie设置为安全,但它作为本地主机工作。但是,在主机文件中设置域名后,chrome不会将cookie发送到服务器,从而导致请求失败。
我使用以下cookie集在本地主机上运行我的服务器,cookie将由chrome发送到我的服务器。
cookie := http.Cookie{Name: "XSRF-TOKEN", Value: csrf.Token(r), Expires: expiration, Path: "/", HttpOnly: false, Secure: true}
我已经在我的主机文件中设置了以下内容,并试图从chrome x.tes
浏览 5提问于2021-05-05得票数 0
使用allauth和django-rest-auth创建facebook登录api。我跟踪了这两个包的文档,并使用了来自的示例。我已经完成了所有的步骤,我可以从DRF浏览API视图成功地使用这个API,并且它正在成功地执行注册。当我从其他地方(如postman )尝试这个API时,它要求获得CSRF令牌。
我试过使用csrf_exempt装饰器,但这在这个url上似乎并不有效。
下面是我的url配置:
url(r'^rest-auth/facebook/$', csrf_exempt(FacebookLogin.as_view()), name='fb_login
浏览 1提问于2017-10-27得票数 1
回答已采纳
2回答
使用:
Django 3.x django-过滤器2.2.0,石墨烯-django 2.8.0,石墨2.x继电器2.0.1 Vue 2.x Vue-阿波罗
我正在测试单页vue应用程序与Django,GraphQL &Vue-阿波罗。
如果我在我的视图中使用csrf_exempt,一切都在前面工作。
urlpatterns = [
<...>
path("graphql", csrf_exempt(GraphQLView.as_view(graphiql=True))),
<...>
现在我想要CSRF保护我的请求。在理解CSRF保护的过
浏览 3提问于2020-03-04得票数 3
回答已采纳
我有一个子域:
https://admin.mysite.com
在我的生产环境中,当我使用devise登录时,会出现"Cant验证CSRF令牌真实性“的错误。
我在google上做了很多研究,并了解到我需要修改初始化器/sessionstore.rb。我的默认session_store.rb文件包含:
Rails.application.config.session_store :cookie_store, key: '_myapp_session'
有人说:域应该设置为".mysite.com“,有些人认为它应该是:all。我已经尝试了所有的组合,包括tld
浏览 2提问于2017-05-07得票数 0
回答已采纳
我的应用程序使用django rest_framework和SessionAuthentication。我可以成功登录,并在cookie中设置会话id和csrf令牌。然而,POST请求仍然抱怨CSRF失败。
使用rest_framework BasicAuthentication登录;会话id和csrf令牌被设置为cookie
复制并粘贴csrf令牌值到Post请求标头,其中键为“”,值来自cookie。
django.middleware.csrf.CsrfViewMiddleware在settings.py中属于中间件类
我和邮递员一起测试
{“详细信息”:“CSRF失
浏览 2提问于2017-06-07得票数 5
我正在使用Django GraphQL JWT Library和Django GraphQL Auth 我一直收到这个错误google chrome error 在http://localhost:3000/和https://localhost:3000/上使用此react代码(针对相关性进行了修剪) const [login] = useMutation(LOGIN_MUTATION, {
variables: {
email: email,
password: password
},
浏览 42提问于2021-08-16得票数 0
回答已采纳
我的代码有两部分:第一部分是通过简单的在localhost:3000上运行的localhost:3000前端(没有框架/库),另一部分是运行在localhost:8080上的Django server,这里发生的是--前端向Django服务器发出跨站点的POST请求,但是它得到了一个禁止的( cookie未设置。)< code >E29</code>错误。我知道这个问题被问了很多次了,但我似乎没有找到解决办法。
我没有任何在Django请求POST调用的经验,不是使用DRF,而是使用我们自己的端点。
问题代码:
首先,前端将请求csrf令牌到/api/csrf/。
vi
浏览 1提问于2021-03-12得票数 0
我正在使用React,Redux和django rest api来构建一个简单的网站,目前正在学习使用django-rest-auth,除了注销之外,一切都很好,这会给我一个CSRF失败的错误。 auth.js export const logout = token => {
localStorage.removeItem('expirationDate');
const requestOptions = {
method: "POST",
headers: { "Content-Type"
浏览 25提问于2021-04-14得票数 0
回答已采纳
试着学习安全知识。出于好奇为什么在django中提交表单( POST)时,有两个单独的“元素”包含相同的csrf令牌值:
- the csrftoken cookie:
COOKIES:{'csrftoken': '1effe96056e91a8f58461ad56c0d4ddc', ...
- the Form's hidden csrfmiddlewaretoken:
POST:<QueryDict: {u'csrfmiddlewaretoken':
[u&#
浏览 6提问于2011-04-07得票数 24
回答已采纳
我试图使用Paw应用程序来测试Rails 4.2.4中的REST构建。我有一个create方法,它期望JSON作为输入。请求似乎以结构形式从Paws传递正确的信息,但是Rails API失败了,有以下错误:
422个不可处理实体
无法验证CSRF令牌的真实性
在编写JavaScript前端时,请求必须在表单的请求后附加一个标题:
webix.ajax().headers({'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')}).post("geo
浏览 2提问于2016-03-29得票数 1
我有一个安全配置:
@Override
public void configure(HttpSecurity http) throws Exception {
http
.addFilterBefore(
new JwtLoginFilter("/login", authenticationManager()),
UsernamePasswordAuthenticationFilter.class)
.addFilterBefo
浏览 0提问于2017-09-06得票数 3
回答已采纳
我从Django收到了一个错误,"CSRF令牌丢失或不正确“,以及它的标准错误消息。当您使用标准浏览器和Django服务器时,许多其他问题已经涵盖了正确的响应,但我正在尝试让UnityWebRequest很好地使用Django。
从概念上讲,我有两个步骤。首先,我在登录页面上调用GET请求,从表单中解析出csrfmiddlewaretoken,并从set-cookie头中解析出csrftoken。
然后,我创建了第二个cookies,在UnityWebRequest中包含"referer“作为标头,并将csrftoken作为标头。我会在表单中添加用户名、密码和csrfmiddl
浏览 3提问于2018-05-13得票数 2
1回答
我有一种场景,用户可能闲置在页面上,大约15分钟后,用户浏览器发出的post请求将触发无效的CSRF令牌错误。这个问题有些帮助,但我仍然不知道该如何处理错误。
在我已经链接到的问题中,有一点是关于延长Rails cookie过期时间的安全问题的。真的是这样吗?当引发此错误时,是否应该刷新该页?我不想禁用CSRF保护。处理此错误和维护可用性的最佳方法是什么?我还在我的应用程序中使用了Devise。
Can't verify CSRF token authenticity.
Completed 422 Unprocessable Entity in 4ms (ActiveRecord:
浏览 1提问于2018-05-02得票数 0
回答已采纳
在发出ajax请求时,我在标头中发送CSRF令牌。
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': getCookie("XSRF-TOKEN")
}
});
在上面的代码中,我从"XSRF-TOKEN“cookie中获取令牌,并为所有ajax请求全局设置"X-CSRF_TOKEN”头部。
我已经签入了chrome开发者工具,这个标题正在被发送。
但是Laravel仍然抛出TokenMismatch异常。
备注I无法从html获得令牌,如元标记或输入字段,因为html内容正在缓存,
浏览 8提问于2018-06-18得票数 2
回答已采纳
我正在尝试从轻量级django - 重新创建一个小项目
尝试使用超级用户帐户登录时出现CSRF错误。下面是我的models.js
(function ($, Backbone, _, app) {
// CSRF helper functions taken directly from Django docs
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRAC
浏览 0提问于2015-09-14得票数 1
1回答
JSON Web令牌拆分
、、、
自从我上一次做Web开发以来已经有很多年了,我意识到很多事情已经改变了:现在我们已经有了localStorage/sessionStorage、单页应用程序、在Authorization: Bearer头、__Host- ; HttpOnly; SameSite=Strict; Secure cookies、X-Frame-Options: DENY头等中使用JSON令牌的完全无状态API,而不是使用身份验证cookie和CSRF令牌的有状态服务器端会话。
然而,尽管有了这些改进,存储在sessionStorage中的JWT仍然容易受到XSS的攻击,而将其存储在cookie中仍然会使其在旧浏览
浏览 0提问于2022-01-23得票数 0
我有一个Express Server,其端点为客户端生成csrf令牌,
现在,我尝试将axios请求中的令牌发回,如下所示,但我一直得到通常的禁止:无效的csrf令牌错误。
下面是我的代码:
static async attachCSRFTokenToHeaders(headers) {
let csrfTokenRequest = await axios.get(EndPoints.CSRF_TOKEN);
let csRefToken = csrfTokenRequest.data;
headers['X-CSRF-TOKEN'] = csRefTo
浏览 0提问于2021-11-06得票数 0
我在Django的站点上遇到了csrf令牌的问题,我即将把它报告为一个bug。
问题是,当DEBUG为False时,CSRF令牌失败。当DEBUG为False时,如果我对csrf令牌(Django 1.11)使用会话:
CSRF_USE_SESSIONS = True
CSRF_COOKIE_AGE = None
前端的...all表单/post请求没有通过身份验证,但我可以很好地登录到Django管理面板,例如,csrf令牌身份验证成功。
另一方面,如果我对csrf使用cookie,那么在前端对表单/post请求进行身份验证没有任何问题,但是对于管理员登录却失败了:CSRF verifica
浏览 1提问于2017-04-27得票数 0
我在Apache上有一个带有mod_wsgi的Django站点。起初,管理页面会返回一个500错误,它在重新启动Apache等之后就开始工作了。但现在,当我登录时,我收到了一个403的留言:
CSRF verification failed. Request aborted.
You are seeing this message because this site requires a CSRF cookie when submitting forms. This cookie is required for security reasons, to ensure that your bro
浏览 0提问于2015-11-04得票数 1
回答已采纳
我正在使用Laravel与Vue的默认集成(而不是使用Vue CLI的单独项目)。我正在尝试对用户进行身份验证,但总是显示419错误。我已经在Axios的报头中包含了csrf令牌,但它仍然提供不匹配错误。
bootstrap.js
window.axios = require('axios');
window.axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';
window.axios.defaults.withCredentials = true;
win
浏览 4提问于2020-08-22得票数 6
2回答
我正忙于开发一个React Native应用程序,它可以与Django服务器上的GraphQL应用程序接口进行对话。
在React Native中,我正在使用React Relay尝试并处理我的GraphQL请求(遵循的指南),但我的请求有403个问题。
回复说,CSRF token missing or incorrect和我正在努力找出最好的方法来让它工作。
我知道我需要首先获得一个CSRF cookie令牌,然后以某种方式将它与我的GraphQL Post请求一起传递,但没有太多幸运。我目前的实现如下所示...
fetch('http://' + ip + ':8
浏览 19提问于2018-01-08得票数 2
回答已采纳
1回答
我使用令牌来保护不受CSRF攻击,但是为了使“后退”按钮仍然工作,如果设置了旧令牌,我就重用它们。这是否仍然提供CSRF保护,或者攻击者是否可以将"CSRFtokeneditcustomer“cookie设置为"hello”,并轻松绕过此保护?
if(!isset($_COOKIE["CSRFtokeneditcustomer"])){
$token = bin2hex(openssl_random_pseudo_bytes(16));//preventCSRF
setcookie("CSRFtokeneditcustom
浏览 0提问于2018-06-12得票数 2
回答已采纳
在从本地主机向远程django api发出POST请求时,CSRF令牌丢失或错误。
我在AngularJS上的设置:
.config(['$httpProvider', function($httpProvider){
$httpProvider.defaults.xsrfCookieName = 'csrftoken';
$httpProvider.defaults.xsrfHeaderName = 'X-CSRFToken';
}]);
但我仍然得到CSRF令牌丢失或不正确的错误。
我检查哪些标头被发送,显然角没有发送HTTP_X_CSR
浏览 0提问于2016-02-26得票数 5
我已经搜索过其他类似的问题,但是没有一个解决方案有效,也没有给我任何关于可能发生的事情的洞察。
我的设置是一个Vue前端(有自己的路由)加上Django后端和API。任何获得路径,我尝试的工作,如预期,但邮政的需要CSRF保护。我在带索引的路由上调用了一个自定义呈现函数(随后将由Vue处理),其中我提供了如下所示的CSRF令牌:
def custom_render(request):
# ...
# from django.middleware.csrf
get_token(request)
# from django.shortcuts
retur
浏览 3提问于2021-07-19得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
