django-rest-auth注销CSRF失败
django-rest-auth是一个基于Django框架的RESTful API认证和授权库。它提供了一套简单易用的API,用于处理用户认证、注册、登录和注销等功能。
在使用django-rest-auth进行注销时,如果遇到CSRF(跨站请求伪造)失败的问题,可能是由于CSRF保护机制导致的。CSRF是一种常见的Web安全漏洞,用于防止恶意网站利用用户的身份进行恶意操作。
要解决django-rest-auth注销CSRF失败的问题,可以尝试以下几个步骤:
- 确保在前端请求中包含正确的CSRF令牌。在使用django-rest-auth进行注销时,需要在请求的头部中添加CSRF令牌。可以通过获取CSRF令牌并将其添加到请求头部中来解决此问题。具体的实现方式可以参考Django文档中关于CSRF保护的部分。
- 检查CSRF中间件的配置。在Django的配置文件中,有一个名为CSRF_MIDDLEWARE的配置项,用于指定CSRF中间件的顺序。确保CSRF中间件在认证中间件之前被加载,以确保CSRF保护机制能够正确工作。
- 检查CSRF_COOKIE_SECURE的配置。在Django的配置文件中,有一个名为CSRF_COOKIE_SECURE的配置项,用于指定CSRF令牌是否只能通过HTTPS传输。如果你的应用程序使用了HTTPS,确保将CSRF_COOKIE_SECURE设置为True,以增加安全性。
- 检查CSRF_COOKIE_HTTPONLY的配置。在Django的配置文件中,有一个名为CSRF_COOKIE_HTTPONLY的配置项,用于指定CSRF令牌是否只能通过HTTP传输。如果你的应用程序需要与其他域进行通信,确保将CSRF_COOKIE_HTTPONLY设置为False,以允许跨域访问。
总结一下,解决django-rest-auth注销CSRF失败的问题需要确保正确添加CSRF令牌、正确配置CSRF中间件的顺序和相关的配置项。通过这些步骤,可以解决CSRF失败的问题,实现正常的注销功能。
腾讯云相关产品推荐:
- 腾讯云CVM(云服务器):提供高性能、可扩展的云服务器实例,用于部署和运行Django应用程序。详情请参考:腾讯云CVM产品介绍
- 腾讯云COS(对象存储):提供安全可靠、高扩展性的云端存储服务,用于存储和管理用户上传的文件。详情请参考:腾讯云COS产品介绍
- 腾讯云CDN(内容分发网络):提供全球加速、高可用的内容分发服务,用于加速静态资源的传输和分发。详情请参考:腾讯云CDN产品介绍
相关·内容
我使用的是Django Rest Framework和django-rest-auth。
我有标准的API端点(/login,/logout,/registration.)
使用浏览器,我可以登录/列出我的用户/注销。对于失眠症(一个API请求者),我无法登录/注销,我有错误
"CSRF失败: CSRF令牌丢失或不正确“
也许我需要添加CSRF头,但老实说,我不知道在哪里可以找到这个CSRF令牌.也许我需要添加一些东西(@csrf_protect ?)若要登录端点,但是否被迫完全重写默认视图?
浏览 1提问于2019-04-25得票数 10
我正在使用React,Redux和django rest api来构建一个简单的网站,目前正在学习使用django-rest-auth,除了注销之外,一切都很好,这会给我一个CSRF失败的错误。 auth.js export const logout = token => {
localStorage.removeItem('expirationDate');
const requestOptions = {
method: "POST",
headers: { "Content-Type"
浏览 25提问于2021-04-14得票数 0
回答已采纳
使用allauth和django-rest-auth创建facebook登录api。我跟踪了这两个包的文档,并使用了来自的示例。我已经完成了所有的步骤,我可以从DRF浏览API视图成功地使用这个API,并且它正在成功地执行注册。当我从其他地方(如postman )尝试这个API时,它要求获得CSRF令牌。
我试过使用csrf_exempt装饰器,但这在这个url上似乎并不有效。
下面是我的url配置:
url(r'^rest-auth/facebook/$', csrf_exempt(FacebookLogin.as_view()), name='fb_login
浏览 1提问于2017-10-27得票数 1
回答已采纳
我正在尝试使用django-rest-framework和django-rest-auth by tivix ()实现身份验证。我使用django shell创建了一个用户,如下所示:
from django.contrib.auth.models import User
user = User.objects.create_user(username='foo', email='foo@bar.com', password='bar')
user.save()
然后根据的说法,我使用django-rest-auth like (终端命令)登录了
浏览 2提问于2016-06-10得票数 9
回答已采纳
1回答
我目前被困在我的项目中的一个bug上,这是一个带有react/redux前端的rails api后端。 对于身份验证,我使用一个httponly cookie和rails提供的csrf令牌,并通过我的api包装器放在我的请求的头部。 我的应用程序有许多非get请求,其中任何一个都没有CSRF问题,但我在注销操作中遇到了奇怪的行为。 我的注销请求是一个删除请求,如果我登录,然后立即注销,由于无效的csrf令牌导致请求失败,我已经确保在登录后发出一个。 在尝试调试时,我仔细研究了devtools中的请求,并让服务器在创建每个csrf令牌时将其记录到控制台,并让我的客户端在每次请求时记录令牌。我可
浏览 24提问于2021-04-30得票数 0
1回答
我在rails身份验证令牌和Devise登录/注销方面遇到了问题。
我正在使用backbone js构建一个单页面应用程序,所以我使用ajax来登录/注销用户。这是我所观察到的,我并不确切地理解为什么会发生这种情况。
我的布局中有csrf_meta_tags。页面加载后,单击登录按钮,填写表单并提交,即可成功登录。我可以做登录用户应该能做的事情。
现在,我单击一个注销按钮,该按钮通过ajax发送一个DELETE请求,我已成功注销。
上面的所有过程都是在一个页面上进行的,没有页面重新加载,都是ajax。
现在,当我再次单击login并填写表单时,它会发送ajax请求,让我登录,但会在服务器控制台
浏览 0提问于2012-07-31得票数 8
我们在后端使用django-rest-框架作出反应SPA,并使用django-rest-auth进行用户身份验证。
当用户登录时,我们向他显示更改配置文件数据的表单。当用户提交此表单时,我们在登录响应中从cookie中获取csrf令牌,并将它们放在请求报头中。缺少或不正确的服务器响应。
如果用户刷新页面,并重复相同的操作,csrf令牌是正确的,概要文件数据将被更新。
如何解决这个问题,为什么会发生?
浏览 3提问于2016-12-01得票数 1
作为CI测试的一部分,我们从一个常量requirements.txt文件中安装了一个带有一些pip包的虚拟主机。
这个安装过程有时会随机失败,没有明显的原因,因为requirements.txt文件不会改变。每次都是为了不同的随机包裹。
CI是在AWS机器上的,所以我认为这不可能是一个互联网问题。
该故障看起来与此类似(不同的包失败):
Collecting django-rest-auth==0.9.3 (from -r requirements.txt (line 7))
Could not find a version that satisfies the requirement dja
浏览 0提问于2019-06-14得票数 10
回答已采纳
2回答
我正在尝试在(venv)的应用程序中安装django -rest- auth
pip install django-rest-auth
但是我得到了这个错误。为什么?注意:** django和djangorestframwork已经安装
pip install django-rest-auth
Collecting django-rest-auth
Using cached django-rest-auth-0.9.2.tar.gz
Requirement already satisfied: Django>=1.8.0 in ./venv/lib/python3.5/site-pa
浏览 10提问于2017-12-27得票数 0
我在React中使用Axios,在dj-rest-auth中使用Django Rest Framework。在从GCP迁移到Azure并删除未维护的django-rest-auth之后,我遇到了一些新的CSRF问题。最初,我删除了django-rest-auth,并从Django.contrib.auth.views创建了我自己的LoginView。请注意,这也在开发过程中给出了CSRF错误。所以我添加了dj-rest-auth,它在本地解决了我的问题。推送到AKS,但是cookie仍然没有出现。我怀疑我的入口是问题所在,它可以为我的后端和前端设置INGRESSCOOKIE,但不能设置CSRF
浏览 9提问于2021-11-30得票数 0
2回答
我对CSRF有意见。我尝试用自定义的简单视图注销用户。首先,main.html (我开始了,所以很简单)
<div id="user">
<form id="login_form" method="post" action="logout/">
{% csrf_token %}
<p>Witaj {{user.first_name}}!</p>
<input type="submit" class="
浏览 3提问于2013-09-18得票数 0
回答已采纳
3回答
我正在使用Django、Django REST框架、Django-rest-auth和Django-allauth编写一个服务器应用程序。我有一个用于在用户之间传递消息的方法,这种情况只有在接收方登录时才会发生。
但是,用户对象的is_authenticated()方法似乎返回True,即使用户已经注销(称为rest-auth/logout/,这反过来应该调用Django的注销)。是什么导致的?这里有什么我错过的吗?
下面是我的代码:
class SendMessage(generics.CreateAPIView):
permission_classes = (permissions
浏览 1提问于2015-06-25得票数 0
回答已采纳
我有个小问题。
我正在制作带有react,redux和django rest框架的网站。我将使用django-rest实现身份验证。
当用户登录时,django-rest-auth返回令牌和带有头的会话id。我只想使用会话id。
我和邮递员试过了,不管效果如何。首先,使用用户名和密码登录rest/auth/登录。我得到了令牌,可以在cookies选项卡中看到sessionid和csrftoken。然后,当我尝试使用包含successfully : csrftoken值的标头注销时,我可以成功地注销。我还看到"django_session“和"authtoken_token”值在
浏览 0提问于2019-02-19得票数 1
回答已采纳
我正在学习django,几乎完成了一个网站的开发,我使用django-allauth进行社交登录和注册。现在我正在尝试开发一个应用程序,并使用DRF实现一些api的一部分,对于登录,注册,从应用程序的身份验证,我发现django-rest-auth将完成这项工作,并能够注册,登录,注销等…但我不知道如何从应用程序中登录社交,并将详细信息保存在现有的数据库中。
对这个过程有什么建议或参考吗?
谢谢你
浏览 0提问于2015-08-28得票数 2
我使用Django作为我的android应用的后端。我一直在使用@ csrf -exempt注解处理post请求,因为我在从android(VOLLEY库)发送post请求时无法处理csrf验证。现在,我不得不使用django.contrib.auth登录和注销方法,但是当我从安卓发送post请求时,会话不工作。
我试着用我的请求在安卓中启用cookies,但也不起作用(启用cookies也没有解决csrf验证失败的问题).Also我尝试从GET请求中获取csrf令牌到django( django.middleware.csrf - get_token),然后在post请求的头部(X- csr
浏览 1提问于2018-07-27得票数 5
1回答
我可以登录,非常好,但无法获得注销给我一个JSON响应。目前,我只能发到
d8.com/user/logout?csrf_token=123&?_format=json
这将导致注销,即使令牌123与登录时给定的csrf令牌或注销令牌不相同。如果没有令牌查询,这是行不通的,即使cookie/session在任何地方都没有启用。
("message":"'csrf_token‘URL查询参数丢失。“)。
登录发生在访问该URL上禁止的403时。
其他信息: csrf_token=123是实际的查询,不需要是csrf令牌,或者登录版本: 8.5.3是所有端
浏览 0提问于2018-05-25得票数 0
基于Spring security java的配置是(它不是spring mvc,只是servlet webapp)
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.log
浏览 3提问于2015-12-06得票数 1
1回答
在Rails中,如果CSRF检查失败,那么用户的当前会话将被清除,即注销用户,因为服务器假定它是攻击(这是正确/期望的行为)。但是请求已经完成,因此用户记录仍然被创建。然后黑客可以正确登录。一旦设计意识到auth_token是错误的,我如何阻止该方法继续进行?
浏览 0提问于2014-06-10得票数 0
回答已采纳
我有一个Vue.js SPA (app.example.com),它可以与后端Laravel应用程序(accounts.example.com)通信。身份验证由Laravel应用程序处理--如果未经身份验证的用户访问SPA,则将其重定向到Laravel应用程序以登录,然后重定向回SPA。
Laravel应用程序有一个LoginController,它使用了Laravel的内置Illuminate\Foundation\Auth\AuthenticatesUsers特性。登录工作得很好。
我的问题是注销-我在SPA中有一个“注销”按钮,需要注销Laravel会话。
为了防止通过CSRF拒绝服务,
浏览 30提问于2022-03-24得票数 0
回答已采纳
我正在使用Django后端、AngularJS前端和一个Django REST框架(DRF) API来开发用于前端消费的webapp。我发布了一个关于如何在这种设置中处理身份验证的 问题,但我认为我已经大致弄清楚了如何处理它。我使用django-rest-auth包,并意识到我可以简单地更改提供的login.html模板中的表单操作,使其指向django-rest-auth端点之一。登录表单如下所示:
<div class="container">
<section id="loginForm">
<form
浏览 2提问于2016-04-11得票数 0
回答已采纳
我在菜单上有链接:
<li><a href="<spring:url value="/logout" />">Logout</a></li>
在我为春季安全xml设置中的csrf保护设置之前,它工作得很好:
<http use-expressions="true">
<csrf />
<logout logout-url="/logout" logout-success-url="/success" />
浏览 8提问于2014-07-28得票数 3
回答已采纳
我有一个基于Rails后端的主干应用程序。我在发送CSRF令牌时没有问题,但我在注销并想要重新登录时遇到了问题,但它没有验证登录,因为CSRF令牌在注销后发生了更改。
有没有办法在不做整个页面请求的情况下拉入这个CSRF令牌,或者我应该总是让浏览器在注销后从服务器刷新整个页面,以防止这种情况发生?
如果没有其他办法解决这个CSRF问题,我可以做一个完整的浏览器更新,我只是认为我的用户因为CSRF而得到了一种糟糕的体验,但我认为如果他们的账户得到更好的保护,他们会原谅我的。
浏览 0提问于2013-01-23得票数 3
回答已采纳
我正在添加CSRF令牌验证,我遇到了一个问题,我在一个页面上有两个表单,其中一个可以成功提交,另一个不能。我不是在做AJAX请求,我只是使用隐藏的输入字段。如果我提交表单时,它是页面上唯一的表单,它提交时没有问题。如果我在一个包含多个表单的页面上提交,它将失败。 下面是我的两个表单的模板代码 {{if .IsAuthenticated}}
<form action='/admin/logout' method='POST'>
<button>Logout</button>
{{.CsrfField}}
浏览 60提问于2021-01-03得票数 0
你好,我正在使用django rest-auth,我在/password/change/ it中遇到了这个问题,总是返回csrf令牌丢失或不正确的问题:我正在开发一个android应用程序,我正在开发我的设置:
INSTALLED_APPS = [
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
浏览 3提问于2017-05-04得票数 3
回答已采纳
我已经在房子里四处走动了,我确定我处理这个问题的方式错了。
在我的RoR站点上,如果用户已注销,则可以输入新帖子的详细信息。但当它们点击“创建”时,我会检查它们是否经过了身份验证。如果没有,我会要求用户登录或创建一个帐户。登录后,我希望表单自动重新提交原始帖子数据。我正在使用devise进行身份验证。
除了保留原始表单POST数据和避免CSRF失败之外,我已经完成了所有工作。
我认为CSRF失败是因为重新提交的数据没有真实性令牌-所以我暂时关闭了CSRF保护,直到我修复POST数据保留。
我不能在会话中存储数据,因为表单数据包括一个图像,并打破了4k会话的限制。
请问,有没有一个常规的Rail
浏览 2提问于2015-08-05得票数 0
1回答
我创建了一个Jmeter脚本,就像一个线程在其中登录,然后登录我的事务并注销。我在循环控制器和事务控制器中只放了一次login n。我使用正则表达式提取csrf令牌。对于1-2个用户,它工作得很好,但有更多的线程会失败。
浏览 0提问于2019-01-16得票数 1
2回答
我使用了一个登录表单并通过POST AJAX请求提交了一个模式。我只能登录一次,当我注销并再次登录时,AJAX请求的错误消息是这个(CSRF失败)。
Prohibido (403)
Verificación CSRF fallida. Solicitud abortada
只有当我刷新按F5的整个页面时,登录才能再次工作。登录成功后,我只刷新标题,而不是整个页面。我的刷新代码是:
$('#update-' + idToUpdate).load(' #' + idToUpdate);
编辑: I发现CSRF令牌在成功请求后只能工作一次。我必须为表单再次工作生成一个
浏览 2提问于2017-08-20得票数 0
回答已采纳
1回答
我正在开发一个使用Spring框架构建的web应用程序。我得到了Invalid CSRF Token错误。我只在Chrome浏览器中看到这种行为。以下是以下步骤:
通过提供userName和密码登录应用程序
单击“注销”按钮进行注销。用户将被重新定向到登录页面。
然后,在登录页面中再次尝试登录。我得到了以下错误
Invalid CSRF Token 'd82dfa89-81b1-449e-9ef5-cdd32957e7f3' was found on the request parameter '_csrf' or header 'X
浏览 1提问于2015-01-21得票数 0
1回答
Django休息商店令牌安全
、、、、
我试图在后端使用django-rest-auth库实现身份验证,并在前端使用react。Django-rest-auth在身份验证后返回一个令牌,我正在猜测如何处理它。
从安全的角度来看,该令牌可以保存在HTTPOnly cookie中,还是应该只保存在内存中?
是否存在一种经过测试的方法,通过django-rest-auth实现本地持久性,并在不实现网站漏洞的情况下做出反应?
浏览 1提问于2021-01-28得票数 0
回答已采纳
我对使用CSRF的AngularJS的Security有一个问题。
我的实现基于以下文档:
我的问题是,登录/注销进程没有得到正确的管理。
登录阶段似乎进行得很好:响应正常,创建了Java会话,并且有一个属性"SPRING_SECURITY_CONTEXT“与主体记录。但是在登录过程之后,我注意到在会话对象中,CSFR_TOKEN的属性缺少。
这是造成这种影响的原因:当我尝试注销时,我传递包含Security所需的所有标头的请求。但是org.springframework.security.web.csrf.CsrfFilter类的"doFilterInternal“方法无法
浏览 1提问于2016-04-19得票数 2
当我从Spring3.1.1.RELEASE迁移到4.0.2发行版时,我不得不对Spring安全上下文做一些更改。
除了POST注销请求之外,几乎所有事情都是正常的。
我可以使整行是形式method="POST“”action=“注销,但然后我必须处理提交,这是完全不同的样式,我们需要什么。我尝试过通过ajax发送带有csrf数据的注销请求,但没有成功。任何帮助都是非常感谢的。禁用csrf不是一种选择。
<!-- JSP -->
<meta name="_csrf" content="${_csrf.token}"/>
<
浏览 5提问于2015-08-21得票数 1
回答已采纳
3回答
在会话超时后,我在注销应用程序时遇到问题。我已经配置了注销url:
<security:logout logout-url="/logout" logout-success-url="/" delete-cookies="JESSIONID"/>
我有注销表格:
<form action="#" th:action="@{/logout}" method="POST">
<input type="submit" th:value="#{b
浏览 1提问于2015-08-21得票数 0
3回答
<!-- Log out Button -->
<form class="btn dento-btn booking-btn" method = "POST" action = "home.html"> {%csrf_token%} <button type="submit" > Logout</button> Logout</form>
<a href="{% url 'login' %
浏览 6提问于2022-03-29得票数 1
2回答
我正在尝试编写一个AJAX脚本,它将使用POST请求将我从Laravel注销: $.ajax({
headers: {
'X-CSRF-Token': "{{ csrf_token() }}"
},
type: "POST",
url: '/logout',
success: function() {
window.location.replace('https://portal.nchinc.com/?logout=timeout'
浏览 28提问于2020-08-19得票数 0
在阅读了关于CSRF保护在Rails中如何工作的文章之后,我尝试通过这样做来触发CSRF保护:
注意:我们使用基于cookie的会话。
访问登录页面。检查meta => abc123中的CSRF令牌
打开第二个浏览器选项卡,并访问相同的登录页面。meta中的CSRF令牌是不同的=> def456
回到第一页。
提交登录凭据。
我预计这会失败,因为第二个选项卡生成了一个新的、不同的CSRF令牌。当登录表单提交时,提交给服务器的令牌不应该是旧的、陈旧的令牌吗?
然而,这确实有效:
访问登录页面。检查meta => abc123中的CSRF令牌
打开
浏览 0提问于2017-12-08得票数 20
回答已采纳
这篇文章建议“在signOut事件中进行api调用,后端处理其馀部分。”
当然,让我们来写:
await fetch('/api/auth/signout', { method: "POST" });
除了请求是通过302重定向到GET /api/auth/signout?csrf=true (而后者反过来又重定向到GET /auth/sign-out )之外,我的自定义注销页面;用户没有被注销。
确实指定"POST提交需要/api/auth/ CSRF中的csrf令牌“,但是没有使用这种方法的示例。
点击/api/auth/csrf,我会得到一个JSO
浏览 26提问于2022-08-17得票数 0
回答已采纳
1回答
我在Django中实现一个注销用户的按钮时遇到了问题(我正在为一个现有的项目做贡献,不幸的是,这个项目还没有使用现有的Django auth模型)
我有一个视图(已经存在):
def logout(request)
request.session.flush()
return render_to_response ('tcore/logout.html',
context_instance=RequestContext(request))
和base.html中的一个按钮
<form action = 'logout/
浏览 0提问于2013-12-30得票数 0
1回答
函数不能识别页面变量
、、、、
我有2个页面,它具有注销功能在it...Currently中的html页面看起来像below...The test1.js有注销功能,每当用户单击注销按钮,注销功能被调用。注销函数调用服务器中的post请求,传递会话id和csrf令牌...
问题:
在当前的设置中,我无法从页面中获取csrf和会话id,但是当我将其移动到单个页面的document.ready函数中时,它工作得很好。
为什么会话id和csrf函数在单独的..时不可见。
Page1.html
<script src="test1.js"></script>
<form
浏览 1提问于2014-05-06得票数 0
10回答
我正在用Rails做一个单页应用程序。在登录和退出时,会使用ajax调用。我遇到的问题是,当我签了名,然后再次登录时,就不起作用了。
我认为它与CSRF令牌有关,它在我签出时会被重置(尽管它不应该是afaik),而且由于它是单个页面,所以旧的CSRF令牌在xhr请求中被发送,从而重置会话。
更确切地说,这就是工作流程:
登录
注销
登录(成功201 )。但是,在服务器日志中打印WARNING: Can't verify CSRF token authenticity )
随后的ajax请求在401次未经授权的情况下失败。
刷新网站(此时,页面标题中的CSRF更改为其
浏览 16提问于2012-08-07得票数 44
回答已采纳
我正在使用Security来执行登录和注销。
每次我执行这些操作时,登录和注销似乎都很有效。
如果我添加maxSessionsPreventsLogin(),登录在第一次尝试期间工作;在注销之后,我不能再登录了。调用方法failureUrl(),并将用户重定向到/login?error。
这是我的配置方法:
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity.formLogin()
.loginPage(
浏览 3提问于2018-09-28得票数 0
1回答
我发现django-auth在每个默认情况下都会散列密码,后台是随机盐:。
但是,我还不太确定,django-auth和django-rest-auth之间有什么区别。
我也找不到django-rest-auth是否也会自动哈希和salt密码的信息。
有人能解释一下django-auth和django-rest-auth到底有什么不同吗?什么时候选择哪一个,为什么有两个库来解决相同的问题?
作为初学者,这让我很困惑。
浏览 0提问于2018-09-09得票数 0
回答已采纳
1回答
大多数情况下,我可以登录和注销,但有时在注销过程中,我会返回如下所述的错误,并且我没有被注销。 Can't verify CSRF token authenticity.
User excluded error: #<ActionController::InvalidAuthenticityToken: ActionController::InvalidAuthenticityToken> 我不能注销的情况并不总是发生,但当我不能注销时,上面的错误就是我得到的错误。我读到过,这就是我到目前为止所做的。我在前端使用vuejs,在后端使用rails。我使用的是rails版本5
浏览 14提问于2021-05-05得票数 0
3回答
我必须使用Security为我的项目创建一个登录模块,在这里我重写了WebSecurityConfigurerAdapter的WebSecurityConfigurerAdapter方法并创建了一个自定义登录页面。
customLogin.jsp
<body>
<h3>Login Here</h3>
<font color="red">
${SPRING_SECURITY_LAST_EXCEPTION.message}
</font>
<form action=&
浏览 9提问于2016-10-12得票数 0
回答已采纳
2回答
我遇到多个选项卡的问题。如果我从第一个选项卡注销并打开另一个选项卡,在登录和注销后,如果我返回到第一个选项卡并登录,我会得到403。例如,第一个选项卡的注销页面由spring security和thymeleaf添加到表单中:
<input type="hidden" name="_csrf" value="7b9639ba-aaae-4ed2-aad2-bb4c5930458e">
其中,作为第二个选项卡的登录表单,添加了不同的csrf令牌。
<input type="hidden" name="_cs
浏览 3提问于2014-03-20得票数 3
使用Rails 6.0.3.6、ruby 2.7.2p137和devise (4.7.3)。
当用户调用注销时,如果这是一种正常的情况,它可以正常工作。但是,相同的注销在以下条件下会出现错误:
如果用户打开了两个选项卡,从第一个选项卡注销,然后尝试从第二个选项卡注销,则会出现错误。
如果用户注销并单击浏览器后退按钮,然后再次单击注销按钮,则再次导致错误。
请建议在项目中编码用户重定向到主路径的过程,说明用户已经签出,而不是给出错误。
Can't verify CSRF token authenticity.
Completed 422 Unprocessable Entity in 5
浏览 5提问于2021-06-01得票数 0
1回答
最近版本的Laravel (正确)使用POST来注销会话。其理由是,GET/HEAD只应用于符合HTTP的被动操作。
带有csrf令牌的POSTing还可以保护恶意用户/站点不让您注销会话:。
但是,如果会话已经超时,并且用户单击注销(这会触发登录路由的POST ),则会接收到一个标记不匹配错误,则是。这是有意义的-令牌不匹配,因为会话已经过期。
我可以根据请求变量捕获特定的TokenMismatchException,如果是的话,继续它们的愉快路径(到注销的重定向路径,比如"home“或"/")。如下所示:
public function render($reques
浏览 3提问于2017-02-05得票数 8
回答已采纳
我有一个使用devise进行用户身份验证的emberjs/rails应用程序。我正在使用qunit构建集成测试。在运行测试之前,我会手动登录应用程序。GET请求可以在测试期间处理,但POST请求失败。特别是,当发出POST请求时,我从devise得到了一个“无法验证CSRF令牌真实性”的错误。当我重新加载测试时,我会从应用程序中注销。
怎样才能让qunit很好地使用devise呢?
浏览 0提问于2013-06-19得票数 2
回答已采纳
2回答
我使用的是Spring Security 5.0.13,我想激活登录页面的csrf保护。我使用的是xml配置,我将其从 <http>
...
<csrf disabled="true"/>
</http> 至 <bean id="csrfMatcher" class="org.springframework.security.web.util.matcher.AntPathRequestMatcher">
<constructor-arg name="patt
浏览 9提问于2020-08-13得票数 0
我有一个应用程序,它使用设计来进行身份验证。登录字段在主页上。如果我打开两个选项卡(Tab A和Tab B,然后手动注销每个选项卡(首先是Tab A,然后是Tab B),然后返回到Tab A并尝试登录,我将得到一个InvalidAuthenticityToken错误。
然后我可以返回到Tab B并尝试登录并获取错误。然后返回到Tab A,并尝试登录并再次获取错误。这将无限期地发生,直到您尝试在同一选项卡中获得InvalidAuthenticityToken错误后立即登录一个选项卡。
我可以在ApplicationController中设置以下内容:
protect_from_forgery :
浏览 2提问于2014-09-11得票数 7
我使用下面的代码片段在sidemenu中注销。在单击注销按钮时,它将显示一个加载器,然后注销发生。
我想在警报显示后添加一个加载器。我该如何实现它?
navigateToLogin = props => {
Alert.alert(
"Logout",
"Are you sure you want to logout?",
[
{
text: "Cancel",
onPress: () => console.log("Cancel Pressed"
浏览 1提问于2018-10-31得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
