csrf

Fragen
Cross Site Request Forgery ist ein böswilliger Angriff, um die Vertrauenswürdigkeit einer Website in den Browser eines Benutzers auszunutzen.
1
Antwort

Antiforgery Tokens sind wiederverwendbar

Wir verwenden die standardmäßige Anti-Forgery-Technik von ASP.NET MVC. Kürzlich hat eine Sicherheitsfirma einen Scan eines Formulars durchgeführt und festgestellt, dass sie die gleiche _RequestVerificationToken -Kombination (Cookie + versteck...
29.05.2017, 15:58
1
Antwort

Wie überlebt das MVC-Anti-Fälschungs-Token zwischen Neustarts des Webservers?

Ich habe einen Anti-Fälschungs-Schutz mit dem ValidateAntiForgeryTokenAttribute in MVC 5 implementiert. Es funktioniert gut, aber in Zukunft werden wir vielleicht eher zu einem "Webfarm" -Ansatz für das Hosting übergehen. Wenn ich meine Anwendun...
23.07.2014, 20:49
4
Antworten

wie Verweiser in einem MVC oder Web API Ajax Anruf zu überprüfen

Meine MVC-App hat gemeinsame Ajax-Methoden (in Web-API und regulären Controller). Ich möchte diese Anrufe basierend auf dem Bereich (Ansicht) meiner App autorisieren, von dem der Anruf kommt. Das Problem, dem ich gegenüberstehe, ist, wie man den...
11.02.2015, 23:24
1
Antwort

Rails CSRF Token Authentizität und Devise

Ich habe Probleme mit dem Authentizitätstoken der Schienen und Devise login / logout. Ich benutze backbone js, um eine einzelne Seite App zu erstellen, also benutze ich Ajax, um den Benutzer einzuloggen / ausloggen. Hier ist, was ich beobacht...
31.07.2012, 09:56
1
Antwort

Rails authenticity_token auf einem Formular vs csrf-Token

Auf derselben Seite einer Rails 4 App habe ich ein im Kopf: %Vor% und unten im Körper: %Vor% Das csrf-Token wird für js-Aufrufe benötigt. Aber warum unterscheidet sich das Form-Token vom csrf-Token? Welcher der beiden Token wird beim...
10.08.2016, 10:35
1
Antwort

Wie wird die CSRF-Funktion von Spring Security für zustandslose Endpunkte verwendet?

Ich verwende Spring Security mit einem zustandslosen Webdienst. Ich möchte die CSRF-Funktionen in Spring Security 3.2 verwenden. Ist das mit einer zustandslosen Web-App möglich? Dies ist die relevante Java Config, da ich CSRF vorerst deaktivi...
16.12.2013, 23:11
2
Antworten

csrf greift an und reicht das Cookie doppelt ein

Das folgende Zitat stammt aus Ссылка    Wenn ein Benutzer eine Site besucht, sollte die Site ein   (kryptografisch stark) pseudozufällig und setzen Sie es als Cookie   auf dem Computer des Benutzers. Die Website sollte jedes Formular einrei...
17.07.2012, 07:56
1
Antwort

CSRF-Token für einen jQuery-Datei-Upload kann nicht überprüft werden, nur IE 9, Rails 3-App

Also verwende ich jQuery-Datei-Upload in einer Rails-3-App, und alles funktioniert wunderbar, außer in IE 9, das ist. Nur in IE9, wenn ich versuche, eine Datei hochzuladen, bekomme ich weiterhin den Fehler "cant verify csrf token" in meiner Kons...
22.08.2012, 13:24