腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
Https只有cookie才容易受到
CSRF
攻击
吗?
、
在任何表单上都不会生成
CSRF
令牌,并且请求验证是基于加密的id的。 在这种情况下,
CSRF
攻击
可能吗?如果是的话,如何运作呢?
浏览 0
提问于2016-11-07
得票数 2
1
回答
不相信JWT令牌+
CSRF
令牌的安全性
、
、
、
、
假设我有一个web应用程序,在其身份验证方案中使用了JWT令牌和
CSRF
令牌。据我所知,它是这样运作的: 服务器还发送没有httpOnly设置的
CSRF
令牌,以便JavaScript code.可以读取它。当客户机提出任何未来的请求时,JWT cookie将自动发送,
CSRF
必须在请求头中设置。这应该可以防止
CSRF
攻击
,因为
CSRF
cookie
浏览 0
提问于2018-11-29
得票数 1
1
回答
应否保护登入表格免受
CSRF
影响?
、
、
、
、
我读了很多关于
CSRF
保护的文章,但是我怀疑我还不能澄清,甚至在堆栈溢出的情况下也是如此。因此,我使用烧瓶来构建一个web应用程序,并且有一个名为
csrf
_token的函数,您可以调用它生成一个令牌,并将它作为一个隐藏的输入(在本例中是登录表单)。但是,我在想,如果
攻击
者进入登录站点以获取他的
csrf
令牌,这是否会破坏站点上的
csrf
保护?因为这样他就可以将他的
csrf
令牌附加到ajax请求上,这基本上等于没有任何保护。
浏览 2
提问于2019-07-16
得票数 2
回答已采纳
3
回答
如果any服务不影响服务器数据,那么
CSRF
是否存在任何危险?
、
我一直在阅读关于
CSRF
及其工作
原理
的文章,如果我理解正确的话,
攻击
者唯一能做的事情就是强迫用户执行他无意中的操作。HTTP-AUTH: #SessionId 在这种情况下,
攻击
浏览 0
提问于2015-11-10
得票数 1
回答已采纳
1
回答
基于JWT和
CSRF
保护的SPA REST认证
、
、
、
、
基本
原理
:我想保护一个令牌,它有一个很短的过期时间,以防它被破坏。我也不想强迫用户经常重新登录。
攻击
者需要在少于令牌过期时间的时间内请求新令牌。如果
攻击
者设法做到这一点,他/她可以使用令牌的最大时间是在截止日期之前定义的。用户可以在设定的最后期限内保持在线。对于商业应用程序来说,8小时或一天的截止时间就足够了。这个实现是否足够安全?基本
原理
:保护令牌不受XSS
攻击
,如果令牌保存在localStorage/sessionStorage中,则会危及令牌。这是这文章中的建议。这种方法除了向<
浏览 0
提问于2017-02-21
得票数 16
1
回答
CSRF
深度保护
、
、
、
我目前在我的php应用程序中添加了一个
CSRF
令牌保护机制。正如我所读到的,惟一的要求是每个用户都有一个惟一的令牌,这是我在php7中使用random_bytes生成的。我担心的是,如果
攻击
者使用用户的浏览器发送http请求,浏览器不会发送令牌的会话变量吗?(因为用户具有与令牌关联的会话the )。谢谢
浏览 1
提问于2015-09-24
得票数 0
1
回答
Facebook Auth和
CSRF
机制
、
、
、
我正在本地运行,并不断获得
CSRF
错误。我想了解他们的
CSRF
保护机制: $_SESSION['state'] = md5(uniqid(rand(), TRUE)); //
CS
浏览 5
提问于2011-10-18
得票数 0
1
回答
使用Tomcat
CSRF
过滤器公开URL中的token是否安全?
、
Tomcat支持将令牌附加到URL的
CSRF
过滤器。这不会暴露令牌吗?看起来这不是一个安全的解决方案。我说的对吗?
浏览 1
提问于2016-10-05
得票数 1
2
回答
SameSite cookie属性与同步器令牌模式
、
、
、
、
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止
CSRF
攻击
:https://www.owasp.org/index.php/SameSite。如果支持,我们是否应该实现同步器令牌模式来防止
CSRF
攻击
?
CSRF
攻击
?添加的什么是可能的
攻击</em
浏览 0
提问于2019-01-13
得票数 2
回答已采纳
1
回答
使用用户代理的
CSRF
旁路
、
、
这是
CSRF
的一种非常规方法,我在为Android移动应用程序做五级测试时遇到了这种情况。n#testing","_uuid":"2da6821d-c609 t-900c-9f6e-51as443280f5","email":"tester123@mailservice.com"} 在执行
CSRF
时,
攻击
者无法预测
CSRF
令牌的值,因为它是在请求中验证的,并且即使令牌在请求中存在,也会被拒绝并出现错误的“令牌缺失”。在
CSRF
浏览 0
提问于2020-06-24
得票数 0
回答已采纳
1
回答
模拟
CSRF
攻击
、
、
、
我想模拟
CSRF
攻击
来检查我的网站漏洞。我在我的asp.net but应用程序上尝试了一下,但模拟失败。所以请帮我模拟一下
CSRF
攻击
。我已经通过使用test.aspx进行了模拟。
浏览 2
提问于2011-07-07
得票数 5
2
回答
PHP
CSRF
攻击
、
、
、
、
我想知道这段代码是否足够强大,可以防止对PHP表单的
CSRF
攻击
? <?
浏览 0
提问于2013-05-12
得票数 2
回答已采纳
1
回答
什么是保护REST接口不被会话窃取的正确方法?
、
让我们假设
攻击
者能够将JavaScript注入网站。所以,我想,这个
攻击
媒介是无法合理防御的。但是,如果
攻击
者窃取会话,他可以冒充用户并几乎做任何事情。所以我在考虑如何保护这个向量。当然,服务器可以检查IP地址等,但这并不总是可能的。我们可以使用
CSRF
令牌,但是它们应该是JavaScript可以使用的,如果JavaScript被破坏,它们可能会被窃取,它们必须在well服务器上维护,这会损害可伸缩性,等等。
浏览 0
提问于2017-09-27
得票数 1
1
回答
如何防范
CSRF
、
如何保护我的网站免受跨站点请求伪造
攻击
?我正在访问一个“正常”的网站。(f.e.normal.php)在后台加载另一个网站(f.e。send/send_注释),在这里我已经登录。在网络中,我总是发现使用令牌对抗
CSRF
的诀窍。但是在本例中,网站normal.php将在加载其他网站时获得令牌。我是不是误解了标记的工作
原理
?如果没有,我如何阻止我的网站接受这个请求?
浏览 2
提问于2015-03-04
得票数 3
回答已采纳
1
回答
是否应该对所有的邮寄请求进行
CSRF
检查?
、
、
、
据我所知,应该对任何更改状态的请求进行
CSRF
检查。如果不是这样,有什么例外呢?此问题的来源来自于有关使用Firebase管理会话Cookies的教程,它们在初始登录步骤中使用
CSRF
检查,但对以后的post请求不使用
CSRF
检查。
浏览 0
提问于2021-05-21
得票数 0
回答已采纳
1
回答
为什么在身份验证期间使用JWT刷新令牌来防止
CSRF
?
、
、
、
、
我在这里看到的一件事是:和 使用刷新令牌可以减少
CSRF
攻击
。这种方法在
CSRF
攻击
中也是安全的,因为即使表单提交
攻击
可以进行/refresh_token API调用,
攻击
者也无法获得返回的新JWT令牌值。JWT 的值,当然,
CSRF
攻击
者可以使用这个新的发送另一个请求,其中包含新的JWT令牌sinde。如果我的理解是正确的,我正在努力了解如何使用刷新令牌来防止
CSRF
攻击
。有人能解释清楚为什么刷新令牌可以
浏览 4
提问于2021-01-24
得票数 6
1
回答
存储“记住我”曲奇和
CSRF
保护
、
、
、
、
但是,"httpOnly“cookie容易受到
CSRF
攻击
的
攻击
,因为它们是与请求一起自动发送的。 为了减轻
CSRF
攻击
,建议使用同步令牌模式(让服务器生成
csrf
令牌并与客户端交叉校验)。我的问题是,如果有“记住我”的cookie,那么
CSRF
攻击
(恶意JavaScript)是否有可能发出请求并随后从服务器获得
csrf
令牌?值得关注的是,如果
攻击
同时具有可以发送请求的标记,那么应用程序的安全性就会受到损害
浏览 0
提问于2016-05-30
得票数 1
回答已采纳
2
回答
CSRF
预防也能预防反射XSS
攻击
吗?
、
、
当web应用程序易受此类
攻击
时,它会将未经验证的输入通过请求传递回客户端.[1](https://www.owasp.org/index.php/Testingfor_Reflected_Cross_site_scripting(OTG-INPVAL-001%29) 假设我的webapp在服务器上有一个
CSRF
验证,检查所有请求的有效
CSRF
令牌。如果它收到任何不包含
CSRF
令牌的请求(这个错误是一个简单的字符串,它没有
攻击
向量),它就会产生正确的错误。为了完整起见
浏览 0
提问于2014-08-27
得票数 10
回答已采纳
1
回答
可控硅荧光粉穿透试验
、
、
、
我已经启用了csrg_regenerate设置为true的
CSRF
保护。它工作得很好,每次在Post请求时都重新生成令牌,验证也同样有效。除此之外,我还将我的cookie设置为同一站点的严格连接。然后我向安全小组提交了渗透测试评估,他们因为
csrf
攻击
漏洞拒绝了我的工作。 它们的响应:
CSRF
令牌没有安全地实现。
攻击
者仍然可以使用
csrf
_cookie_name Cookie和
浏览 1
提问于2018-11-29
得票数 0
1
回答
如何在Codeigniter Ajax调用中避免
CSRF
攻击
?
、
、
、
我尝试在我的for应用程序中实现
CSRF
攻击
,它是使用codeigniter框架实现的,这个框架已经有了一个保护
CSRF
攻击
的选项。我的问题是我不知道如何在Ajax调用中避免
CSRF
攻击
。
浏览 21
提问于2019-10-18
得票数 0
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
CSRF攻击及其防御
或许是csrf攻击?
常见的 CSRF、XSS、sql注入、DDOS流量攻击
咱妈说别乱点链接之浅谈CSRF攻击
CC攻击原理,CC攻击怎么防御?
热门
标签
更多标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
活动推荐
运营活动
广告
关闭
领券