CSRF

1. 首页
2. CSRF

AngularJS Django Rest框架CORS(CSRF Coo​​kie不显示在客户端)

在子域A上的AngularJS单页Web应用程序，使用CORS和CSRF保护与子域B上的DjangoJSONAPI通信由于我目前正在进行类似的设置，并正在努力让CORS与CSRF保护结合正常工作，我想在这里分享我自己的学习。参见，例如，也是HowtorunmultiplewebsitesfromoneDjangoprojectDjangoAPI应用程序–为了获得CORS和CSRF保护工作，我需要在API后端执行以下操作。此Django应用程序设置为设置CSRFCookie。注意，几乎所有与AngularJ

javascript – 使用(加密强)会话cookie作为CSRF令牌是否可以？

客户：服务器：在页面加载时使用javascript设置cookie,以防止用户意外泄漏会话cookie,例如通过电子邮件将该页面的副本发送给朋友.解决方法外部站点无法检索的任何内容都可以用作CSRF令牌.所以会话cookie的内容对此是好的.

javascript – 使用Backbone.js发布数据时如何防范CSRF？

Backbone.js处理将数据发布到服务器的引擎盖下,所以没有简单的方法在有效载荷中插入一个CSRF令牌.在这种情况下,如何保护我的网站免于CSRF？在Django文档中,建议是在每个AJAX请求的另一个自定义头文件中添加CSRF令牌：https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax.这是必要的吗？我明白攻击是否使用隐藏的形式,只要保证来自XMLHTTPRequest的请求,我就是安全的.但是有没有任何可以伪造标题的CSRF攻击技巧

JavaScript – Cookie是否保护令牌免受XSS攻击？

我正在为基于浏览器的JavascriptWeb应用程序构建一个基于JWT身份验证机制,使用无状态服务器(无用户会话！

javascript – 即使设置了标头,也无法验证CSRF令牌真实性Rails 4 Ajax

有什么可能导致这个问题的想法吗？EDIT2：按照下面的marflar的建议,我将以下after_filter添加到我的app控制器：我在我的请求方法中更新了xhr.onload,如下所示：我验证了响应标头,然后元标记正在被正确重置,但是,当下一个请求进入时,这个新标记再次过期.思考？

是否担心XSS,CSRF,sql注入,cookie窃取足以覆盖网络安全？

在不安全的wifi环境中,不妥协的计算机上的Web应用程序容易受到XSS,CRSF,sql注入攻击和cookie窃取的攻击.为了防止这些安全问题,有以下补救措施>sql注入：一个好的数据映射器没有sql注入的风险(我真的相信这个吗？或者我是否在Web开发中遗漏了一些其他安全问题？

ajax – 如何在django中的preflighted CORS POST请求中处理CSRF？

我试图通过AJAX从abc.com发出POST请求到xyz.com的URL.我通过向xyz.com上的URL发出GET请求来获取CSRF令牌,但是当在preflighted请求中向xyz.com发出OPTIONS请求时,令牌会更改.有没有办法在预检请求中获得OPTIONS请求的响应？

ajax – Symfony 2 – 删除表单和CSRF令牌

或者有没有办法以不同的方式完成这一切？谢谢你的帮助您可以使用以下内容呈现单个令牌：或特别针对您的情况：但是,我认为你可以更好地制作一系列表格并完全呈现每一个表格：在你的控制器中：在你的树枝上做一些事情：

ajax – 暴露会话的CSRF保护令牌是否安全？

是否有更好的方法来保护免受CSRF攻击,同时仍然允许AJAX请求？如果您知道您将需要AJAX请求的CSRF令牌,您可以随时将其嵌入HTML中;那么你可以通过Javascript通过遍历DOM找到它.这样,您仍然可以访问令牌,但是您不会通过API进行暴露.换句话说就是通过Django的模板来实现,而不是通过URL调度器.这样更安全.

在AJAX请求之后,Devise Rails 3.0.4结束会话

我有一个由Ajax.InPlaceEditor或InPlaceCollectionEditor生成的AJAX请求触发的操作,如下所示：在另一端,该操作包含：一旦到达任何渲染方法,会话就会到期,并且下次用户发送请求时,Devise会将它们发送到登录页面.尽管我正在免除update_field的身份验证(before_filter：authenticate_user！,：except=>：update