我正在开发一个移动应用程序,通过Web服务与我的Symfony2应用程序交互。我无法找到一种在特定控制器/操作上禁用CSRF保护的方法。 我想将注册数据发布到此操作,并使用sf2表单验证。我不在我的移动应用程序中调用表单。 无法更改操作中的容器参数,因为它是冻结参数,会引发异常... 我...
我一直在开发具有REST API的Rails应用程序,以便从移动应用程序中访问。 它运行得很好。当用户从移动应用程序登录时,他会获得auth_token,并在将来的API请求中使用它。问题在于,API也可以通过路径 /api/v1/... 从Web中访问,因此必须保护它免受CSRF攻击。 ...
我目前正在学习Laravel(并不是特别顺利),我已经配置了一些路由来测试使用sanctum进行身份验证。 我正在构建一个仅API的laravel服务,计划让ReactJS项目利用这个API。 目前我还没有使用ReactJS,而是使用Insomnia REST客户端来测试API。 我有一...
我正在尝试在Symfony2中测试一个ajax请求。 我编写了一个单元测试,在我的app/logs/test.log中抛出以下错误: request.CRITICAL: Uncaught PHP Exception Twig_Error_Runtime: "Impossible to ac...
我正在构建的页面严重依赖于 AJAX。基本上,只有一个“页面”,每个数据传输都通过 AJAX 处理。由于浏览器端过度乐观的缓存会导致奇怪的问题(数据未重新加载),因此我必须使用 POST 执行所有请求(包括读取)- 这会强制重新加载。 现在我想防止 CSRF 攻击。在表单提交中使用 Html...
我正在开发一个Web API,认证方式为cookie。所有端点都通过请求正文中的JSON接收参数。我是否需要实现CSRF令牌来保护它们?如果要攻击,有哪些可能性?能否通过普通的<form>元素发送JSON数据?攻击者是否有可能拥有这样的东西?<form type="appli...
我们目前正在开发一个完全基于AJAX的应用程序,该应用程序将通过RESTful API与服务器进行交互。我已经考虑了保护API免受XSRF攻击的潜在方案。 用户进行身份验证并接收会话cookie,每个请求也会提交两次。 我们在Javascript中实现了OAuth消费者,在用户登录时检索令...
在cookie中放置CSRF令牌,然后在每个表单中作为隐藏输入进行匹配,这样做可以吗?虽然我不明白为什么,但听说有人说这样做会破坏令牌的全部目的。对我来说它似乎很安全。 如果这是安全的,那么与将令牌放在URL中相比,是否会降低安全性? 还有其他方法吗? 在哪里可以阅读更多相关主题的内容?...
我正在创建一个API和一个单独的前端应用程序,该应用程序将使用API。在我这种情况下,我使用Laravel Passport作为我的API,并使用一些VueJS作为我的前端应用程序。 为了让用户创建帐户,用户必须POST到API上的路由(/oauth/token),需要传递client_se...