J'écris une application (Django, ça arrive) et je veux juste une idée de ce qu'est réellement un "token CSRF" et comment il protège les données. Les données de publication ne sont-elles pas sûres si vous n'utilisez pas de jetons
La falsification de requête intersite est une attaque malveillante visant à exploiter la confiance d'un site Web dans le navigateur d'un utilisateur.
J'écris une application (Django, ça arrive) et je veux juste une idée de ce qu'est réellement un "token CSRF" et comment il protège les données. Les données de publication ne sont-elles pas sûres si vous n'utilisez pas de jetons
J'essaie de comprendre tout le problème du CSRF et les moyens appropriés de le prévenir. (Ressources que j'ai lues, comprises et approuvées: Aide-mémoire sur la prévention de la CSRF de l'OWASP , Questions sur la CSRF .) Si je comprends bien, la vulnérabilité autour de CSRF est introduite par...
J'envoie des données de la vue au contrôleur avec AJAX et j'ai eu cette erreur: AVERTISSEMENT: impossible de vérifier l'authenticité du jeton CSRF Je pense que je dois envoyer ce jeton avec des données. Est-ce que quelqu'un sait comment faire cela? Edit: Ma solution J'ai fait cela en mettant le...
J'ai mis en œuvre dans mon application l'atténuation des attaques CSRF suite aux informations que j'ai lues sur certains articles de blog sur Internet. En particulier, ces postes ont été le moteur de ma mise en œuvre Meilleures pratiques pour ASP.NET MVC de l'équipe de contenu pour les développeurs...
Je pourrais utiliser un peu d'aide pour me conformer au mécanisme de protection CSRF de Django via mon article AJAX. J'ai suivi les instructions ici: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ J'ai copié exactement l'exemple de code AJAX qu'ils ont sur cette page:
J'ai des problèmes avec l'AntiForgeryToken avec ajax. J'utilise ASP.NET MVC 3. J'ai essayé la solution dans les appels jQuery Ajax et le Html.AntiForgeryToken () . En utilisant cette solution, le jeton est maintenant passé: var data = { ... } // with token, key is '__RequestVerificationToken'...
D'après ce que j'ai appris jusqu'à présent, le but des jetons est d'empêcher un attaquant de falsifier une soumission de formulaire. Par exemple, si un site Web avait un formulaire qui saisissait des articles ajoutés à votre panier, et qu'un attaquant pourrait spammer votre panier avec des articles...
Je connais l'authentification basée sur les cookies. Les indicateurs SSL et HttpOnly peuvent être appliqués pour protéger l'authentification basée sur les cookies contre MITM et XSS. Cependant, des mesures plus spéciales seront nécessaires afin de le protéger du CSRF. Ils sont juste un peu...
J'ai vu des articles et des messages partout (y compris SO) sur ce sujet, et le commentaire dominant est que la politique de même origine empêche un formulaire POST entre les domaines. Le seul endroit où j'ai vu quelqu'un suggérer que la politique de même origine ne s'applique pas aux messages de...
Si l' protect_from_forgeryoption est mentionnée dans application_controller, alors je peux me connecter et effectuer toutes les requêtes GET, mais à la toute première requête POST, Rails réinitialise la session, ce qui me déconnecte. J'ai protect_from_forgerydésactivé temporairement l' option, mais...
Est-il nécessaire d'utiliser la protection CSRF lorsque l'application repose sur l'authentification sans état (en utilisant quelque chose comme HMAC)? Exemple: Nous avons une seule application de la page (sinon nous devons ajouter le jeton sur chaque lien: <a
Je sais qu'il y a des réponses concernant Django Rest Framework, mais je n'ai pas trouvé de solution à mon problème. J'ai une application qui a une authentification et des fonctionnalités. J'y ai ajouté une nouvelle application, qui utilise Django Rest Framework. Je souhaite utiliser la...
Ma page d'enregistrement affiche correctement le formulaire avec CsrfToken ( {{ csrf_field() }}) présent dans le formulaire). Formulaire HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form>...
J'ai une application de rails qui sert certaines API à une application iPhone. Je veux pouvoir simplement publier sur une ressource sans me soucier d'obtenir le bon jeton CSRF. J'ai essayé certaines méthodes que je vois ici dans stackoverflow mais il semble qu'elles ne fonctionnent plus sur les...
Cette question concerne uniquement la protection contre les attaques de falsification de requêtes intersites. Il s'agit spécifiquement de: La protection via l'en-tête d'origine (CORS) est-elle aussi bonne que la protection via un jeton CSRF? Exemple: Alice est connectée (à l'aide d'un cookie) avec...
J'essaye d'ajouter une certaine sécurité aux formulaires sur mon site Web. L'un des formulaires utilise AJAX et l'autre est un simple formulaire «contactez-nous». J'essaye d'ajouter un jeton CSRF. Le problème que j'ai est que le jeton n'apparaît que dans la "valeur" HTML de temps en temps. Le...
Après avoir configuré Spring Security 3.2, _csrf.tokenn'est pas lié à une demande ou à un objet de session. Voici la configuration de sécurité du printemps: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login...
J'ai installé Laravel 5.7 Ajout d'un formulaire au fichier \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Ajouté au fichier \routes\web.php...