在单个页面生成多个表单的CSRF令牌
我目前在表单中生成一个 CSRF 令牌以防止跨站请求伪造。它看起来像这样:<form method="post" action="action.php"> <input type="hidden" id="security_token" name="security_t...
CSRF状态令牌与FB PHP SDK 3.1.1 Oauth 2.0提供的令牌不匹配。
我的服务器日志显示"CSRF状态令牌与提供的不匹配"错误,几乎每个用户都会出现这个问题。但是,用户已经被创建和/或身份验证,并且我能够检索到用户信息。我正在使用带有Apache的Linux服务器。我也在使用最新的Facebook PHP SDK v.3.1.1。有人可以告诉我为什么会发生这种情...
停止在身份验证时重新生成/使CSRF无效化
我当前在我的页面上有表单,无论用户是否登录都会显示。一旦用户登录,他们就会看到其中一个使用CSRF的表单。 问题在于,如果身份验证后呈现此框,则CSRF令牌将无效。 我已经通过允许自己提交未经身份验证检查的表单并且 $form->isValid() 返回true 来确认了这一点,而在登...
Spring + Angular 2 + Oauth2 + CORS的CSRF问题
我正在开发一个基于Spring 4.3和Angular(TypeScript) 4.3的客户端服务器应用程序,它在CORS场景下运行,在生产环境中,服务器和客户端位于不同的域。客户端通过HTTP请求向REST服务器API请求。 1. REST和OAUTH配置:服务器公开了REST API: ...
Jquery和Django的CSRF令牌
我有两个 HTML 页面,一个父页面和一个子页面。子页面包含一个提交按钮,单击该按钮会在父页面上运行代码以提交 Ajax 消息。 我使用 $.load() 方法加载子页面,然后当按钮被单击时,它会运行 $.ajax .POST 方法。这个 POST 方法只传递一个 JSON 字符串给 Pyt...
禁用Django CSRF对于不总是有响应的视图
我有一个Django视图,接收不需要CSRF令牌的POST请求。因此,我在视图上使用了@csrf_exempt装饰器。问题是,有时我不会从视图中发出响应(它是一个Twitter机器人,每个推文都会接收一个HTTP POST请求,我不想回复每个推文)。当我没有发出响应时,我会得到以下错误:Tra...
如何在Yii2框架中处理CSRF验证?
我在yii2中遇到了CSRF验证问题。默认由gii生成的表单可以正常工作,但是当我使用html标签编辑表单时,表单提交会出现错误。我已经禁用了CSRF验证以隐藏错误,但我希望使用它来保护应用程序和数据验证。 有没有解决这个错误的方法或者在这种情况下配置它以正确工作的方式?
带身份验证的REST API中的CSRF令牌
我理解CSRF Token保护的目的。然而,在需要在每个操作的头中提供身份验证令牌的REST API的情况下,我认为此保护是无用的,应将其删除。 这样,即使Mallory伪造了一条恶意HTML链接给Alice,攻击也无法进行。原因在于:Alice将她的身份验证信息保存在一个Mallory不知...
Rails CSRF保护+Angular.js:protect_from_forgery在POST请求时让我注销登录
如果在application_controller中提到了protect_from_forgery选项,我可以登录并执行任何GET请求,但在第一个POST请求上,Rails会重置会话,将我登出。 我暂时关闭了protect_from_forgery选项,但想要与Angular.js一起使用它...
在Express中为某些请求禁用csrf验证
我正在使用Express框架编写一个小型Web应用程序。 我使用csrf中间件,但我希望为某些请求禁用它。 这是我在我的应用程序中包含它的方式:var express = require('express'); var app = express(); app.use(express.bod...