在Ajax提交中禁用Symfony 2的CSRF令牌保护
我正在开发一个移动应用程序,通过Web服务与我的Symfony2应用程序交互。我无法找到一种在特定控制器/操作上禁用CSRF保护的方法。 我想将注册数据发布到此操作,并使用sf2表单验证。我不在我的移动应用程序中调用表单。 无法更改操作中的容器参数,因为它是冻结参数,会引发异常... 我...
如何确保Rails API免受CSRF攻击?
我一直在开发具有REST API的Rails应用程序,以便从移动应用程序中访问。 它运行得很好。当用户从移动应用程序登录时,他会获得auth_token,并在将来的API请求中使用它。问题在于,API也可以通过路径 /api/v1/... 从Web中访问,因此必须保护它免受CSRF攻击。 ...
Sanctum上的API端点没有进行CSRF令牌验证 - CSRF令牌不匹配。
我目前正在学习Laravel(并不是特别顺利),我已经配置了一些路由来测试使用sanctum进行身份验证。 我正在构建一个仅API的laravel服务,计划让ReactJS项目利用这个API。 目前我还没有使用ReactJS,而是使用Insomnia REST客户端来测试API。 我有一...
在测试中获取CSRF令牌,“CSRF令牌无效”-功能性ajax测试。
我正在尝试在Symfony2中测试一个ajax请求。 我编写了一个单元测试,在我的app/logs/test.log中抛出以下错误: request.CRITICAL: Uncaught PHP Exception Twig_Error_Runtime: "Impossible to ac...
使用MVC2实现AJAX请求中的CSRF保护
我正在构建的页面严重依赖于 AJAX。基本上,只有一个“页面”,每个数据传输都通过 AJAX 处理。由于浏览器端过度乐观的缓存会导致奇怪的问题(数据未重新加载),因此我必须使用 POST 执行所有请求(包括读取)- 这会强制重新加载。 现在我想防止 CSRF 攻击。在表单提交中使用 Html...
JSON API 和 CSRF
我正在开发一个Web API,认证方式为cookie。所有端点都通过请求正文中的JSON接收参数。我是否需要实现CSRF令牌来保护它们?如果要攻击,有哪些可能性?能否通过普通的<form>元素发送JSON数据?攻击者是否有可能拥有这样的东西?<form type="appli...
在AJAX风格的应用程序中的XSRF保护
我们目前正在开发一个完全基于AJAX的应用程序,该应用程序将通过RESTful API与服务器进行交互。我已经考虑了保护API免受XSRF攻击的潜在方案。 用户进行身份验证并接收会话cookie,每个请求也会提交两次。 我们在Javascript中实现了OAuth消费者,在用户登录时检索令...
CSRF:我可以使用cookie吗?
在cookie中放置CSRF令牌,然后在每个表单中作为隐藏输入进行匹配,这样做可以吗?虽然我不明白为什么,但听说有人说这样做会破坏令牌的全部目的。对我来说它似乎很安全。 如果这是安全的,那么与将令牌放在URL中相比,是否会降低安全性? 还有其他方法吗? 在哪里可以阅读更多相关主题的内容?...
API/SPA的用户注册
我正在创建一个API和一个单独的前端应用程序,该应用程序将使用API。在我这种情况下,我使用Laravel Passport作为我的API,并使用一些VueJS作为我的前端应用程序。 为了让用户创建帐户,用户必须POST到API上的路由(/oauth/token),需要传递client_se...