Cross Site Request Forgery é um ataque malicioso para explorar a confiança de um site no navegador do usuário.
Estou escrevendo um aplicativo (Django, acontece) e só quero ter uma idéia do que realmente é um "token CSRF" e como ele protege os dados. Os dados da postagem não são seguros se você não usar tokens
Estou tentando entender todo o problema com o CSRF e maneiras apropriadas de evitá-lo. (Recursos que li, compreendi e concordo com: Folha de dicas sobre prevenção de RSC do OWASP , Perguntas sobre CSRF .) Pelo que entendi, a vulnerabilidade em torno do CSRF é introduzida pela suposição de que (do...
Estou enviando dados do modo de exibição para o controlador com AJAX e recebi este erro: AVISO: Não é possível verificar a autenticidade do token CSRF Eu acho que tenho que enviar esse token com dados. Alguém sabe como posso fazer isso? Edit: Minha solução Eu fiz isso colocando o seguinte...
Eu implementei no meu aplicativo a atenuação de ataques CSRF, seguindo as informações que li em algum post de blog na Internet. Em particular, este post foi o driver da minha implementação Práticas recomendadas para o ASP.NET MVC da equipe de conteúdo do desenvolvedor do ASP.NET e das Ferramentas...
Eu poderia usar alguma ajuda em conformidade com o mecanismo de proteção CSRF do Django através do meu post AJAX. Eu segui as instruções aqui: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Copiei exatamente o código de exemplo AJAX que eles têm nessa
Estou tendo problemas com o AntiForgeryToken com ajax. Estou usando o ASP.NET MVC 3. Tentei a solução nas chamadas do jQuery Ajax e no Html.AntiForgeryToken () . Usando essa solução, o token agora está sendo passado: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({...
Pelo que aprendi até agora, o objetivo dos tokens é impedir que um invasor forje um envio de formulário. Por exemplo, se um site tiver um formulário que insira itens adicionados ao seu carrinho de compras, e um invasor poderá enviar spam ao seu carrinho de compras com itens que você não...
Eu sei autenticação baseada em cookie. Os sinalizadores SSL e HttpOnly podem ser aplicados para proteger a autenticação baseada em cookie do MITM e XSS. No entanto, serão necessárias medidas mais especiais a fim de protegê-lo do CSRF. Eles são um pouco complicados. ( referência ) Recentemente,...
Eu já vi artigos e postagens por todo o lado (incluindo SO) sobre esse tópico, e o comentário predominante é que a política de mesma origem impede um formulário POST entre domínios. O único lugar em que vi alguém sugerir que a política de mesma origem não se aplica a postagens de formulário é aqui...
Se a protect_from_forgeryopção for mencionada em application_controller, eu posso efetuar login e executar quaisquer solicitações GET, mas na primeira solicitação POST, o Rails redefine a sessão, o que me desconecta. protect_from_forgeryDesativei a opção temporariamente, mas gostaria de usá-la com...
É necessário usar a proteção CSRF quando o aplicativo depende da autenticação sem estado (usando algo como HMAC)? Exemplo: Temos um único aplicativo página (caso contrário, temos de acrescentar o token em cada link: <a href="...?token=xyz">...</a>. O usuário se autentica usando POST...
Eu sei que existem respostas sobre Django Rest Framework, mas não consegui encontrar uma solução para o meu problema. Tenho um aplicativo que possui autenticação e algumas funcionalidades. Eu adicionei um novo aplicativo a ele, que usa Django Rest Framework. Quero usar a biblioteca apenas neste...
Minha página de registro está exibindo o formulário corretamente com CsrfToken ( {{ csrf_field() }}) presente no formulário). HTML do formulário <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }}...
Eu tenho um aplicativo rails que serve algumas APIs para um aplicativo iPhone. Quero ser capaz de simplesmente postar em um recurso sem me importar em obter o token CSRF correto. Tentei alguns métodos que vejo aqui no stackoverflow, mas parece que eles não funcionam mais nos trilhos 3. Obrigado...
Esta pergunta é sobre a proteção apenas contra ataques de Cross Site Request Forgery. É especificamente sobre: A proteção por meio do cabeçalho de origem (CORS) é tão boa quanto a proteção por meio de um token CSRF? Exemplo: Alice está logada (usando um cookie) com seu navegador em "...
Estou tentando adicionar alguma segurança aos formulários do meu site. Um dos formulários usa AJAX e o outro é um formulário simples de "contato". Estou tentando adicionar um token CSRF. O problema que estou tendo é que o token só aparece no "valor" HTML algumas vezes. No resto do tempo, o valor...
Depois de configurar o Spring Security 3.2, _csrf.tokennão está vinculado a uma solicitação ou a um objeto de sessão. Esta é a configuração de segurança da primavera: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...
Eu instalei o Laravel 5.7 Adicionou um formulário ao arquivo \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Adicionado ao arquivo