我正在开发一个简单的网站,让管理员创建问题,用户解决问题。我使用ActiveAdmin处理管理员部分,使用简单的AJAX调用处理用户解决部分。尝试通过ActiveAdmin::Devise登录最初成功了,但退出登录无法实现。我删除了所有cookie,自此以后,在没有CSRF令牌真实性异常的情况...
跨站请求伪造(CSRF)通常使用以下方法之一来防止: 检查来源 -RESTful但不可靠 在表单中插入令牌并将该令牌存储在服务器会话中-不真正符合RESTful 加密的一次性URIs -与令牌相同,也不符合RESTful 为此请求手动发送密码(而不是使用HTTP身份验证缓存的密码)-符合R...
我正在使用Laravel 5.4,并且我的路由在api中间件中。我发现需要将我的路由转移到web中间件,但是由于我正在创建RESTful API,因此需要它们保留在api中间件中。你有什么建议如何在api中间件中使用csrf?
我已经成功在我的web应用程序上安装了 CsrfGuard,但是在反向代理后的preprod上进行测试时出现了问题。CsrfGuard的javascript isValidDomain并不认为我的域名是有效的:CsrfGuard JavaScriptServlet返回未代理的域名...。 这...
我想在我的Express应用程序中只对少数路由使用csurf。以下是做法: var express = require('express'); var session = require('express-session'); var csrf = ...
当检测到跨站请求伪造(CSRF)时,我应该发送什么响应? 有一款扫描工具我无法获取,它说我的某个页面没有防范 CSRF 攻击。但实际上已经做了防护措施。我返回的响应是一个正常的 202 状态码,并带有 "REQUEST CANNOT BE PROCESSED" 这句话。攻击者并没有收到任何有...
我正在编写一个主要由ajax驱动的Web应用程序,并且正在研究如何保护用户免受CSRF攻击。 我计划在用户登录并执行工作的应用程序页面上运行HTTPS模式。 在HTTPS页面上运行是否有助于防止CSRF攻击?
我正在使用 Laravel 5 开发应用程序。我的应用程序与 VendHQ API 相连,并且我打算通过他们的 webhook 获取一些数据。根据他们的文档: 当事件触发 Webhook 并发送 POST 请求到您选择的 URL 时,我们将向其发送。POST 请求将采用 UTF-8 字...
我正在构建一款 iOS 应用程序,该应用程序与服务器通信以获取数据。 如果只是一个普通的应用程序,我可以通过表单发送 csrf 令牌(因为所有内容来自同一域)。但是,对于 iOS 应用程序,我认为无法设置 csrf 令牌。 因此,在从 iOS 应用程序向服务器发出请求时,我遇到了有关 cs...
我正在开发一个单页应用程序,使用 Laravel 5 提供 Web 服务。所有表单都是异步提交的,我使用 beforeSend 在表单上附加 CSRF 令牌,该令牌从 meta 标签中获取,如下所示: 我正在开发一个单页应用程序,使用 Laravel 5 提供 Web 服务。所有表单都是异...