csrf-protection

0熱

1答えて

私はCSRF上に読んで、この質問に出くわした：https://security.stackexchange.com/questions/36671/csrf-token-in-get-request 複数の人がオンラインにも1がCSRFに対してGETリクエストを守るべきではないことを示しているように見えるしています。しかし、なぜ私は混乱しています。 GETリクエストに機密情報（ユーザーの個人情報な

1熱

1答えて

偽造防止 - それがどのように動作するかをより良く理解する

私は不正アクセスからウェブサイトを保護することを学んでおり、私は反偽造を発見しました。ここに私の考えがあります。私が間違っていれば私を修正してください。 WebページにあるFormに@Html.AntiForgeryToken()を挿入して、ASP.NET MVCアプリケーションで処理されたアプリケーション（これには他にも多くの方法がありますが、これはかなり一般的です）を挿入します。ユーザーは、

1熱

2答えて

Laravel tokenmismatch例外

毎回、トークンの不一致の例外が発生します。私はそれができないようにトークンを送る。私はキャッシュをクリアすると、私のクッキーを削除すると再び修正されます。これは何ができますか？追加情報私はウェブサイトをオフラインで可能にするために、すべてのレンダリングされたHTMLをキャッシュされたとき、それは起こって始めました。

2熱

1答えて

サービスワーカーのベストプラクティスパターンbackground-sync with CSRF protection

CSRF保護を確実にするために、ページに埋め込まれた1回のトークンを使用する要求があります。攻撃者がユーザーに不正なリクエストをしてもらう可能性があります彼らは、トークンを取得することはできません、そして、彼らはそれが各リクエストで変更されたり、期限切れになることができる場合であっても。これまでのところ、とても安全な。私はサービスワーカーとバックグラウンドシンクを実装したいので、ユーザーはデー

2熱

1答えて

Devise：サーバーでHTTPSが有効になっている（JSON/APIなし）

Railsブログを設定しています。私はRails 5とDevise 4.2.0を使用しています。このアプリは、NginxとPumaを搭載したUbuntu Server上で稼働し、Capistranoと共に展開されます。 NginxでHTTPS（有効なSSL証明書付き）を有効にし、301のリダイレクトフォームHTTPをHTTPSに追加するまでは、すべてが実動的に機能します。プロダクションログを確認

1熱

2答えて

CSRFとHPPの違い（HTTPパラメータ汚染）？

HPP（HTTP Parameter Pollution）攻撃について理解するために、このlinkを調べました。 HPP攻撃では、攻撃者はHTTPパラメータを変更し、変更されたURLを犠牲者に送信するようです。 CSRF攻撃と同じではありませんか？もし誰かが私にCSRF & HPPの違いは何ですか？

4熱

1答えて

Rails 5 devise_token_auth CSRFトークンの真正性を確認できません

モバイルクライアントがgem devise_token_authを使用して承認するRails 5 apiプロジェクトに取り組んでいます。警告の意味についてはっきりしています。第一問：CSRF保護は（JSON/XML）APIのためにオフにする必要があり、正しいを、対応？私はWeb上でいくつか検索しましたが、CSRFはCookieを使用したWebアプリケーション上で起こっているようです。それは

0熱

1答えて

角型JS内のJWTトークンストレージ

角型JSローカル、セッション記憶域またはクッキーにJWTトークンを格納します。 Cookieの場合、CSRFが発生しやすくなります。それを避ける方法。

0熱

1答えて

PHP cURLを使用してURLからCSRFトークンを取得し、同じセッション内の別のURLに投稿してください

私はsupermariomakerbookmark.nintendo.netのWebサイトから収集した情報に基づいてキューシステムを作成しようとしています。まず、私がフィールドに存在するCSRFトークンを見つけるためのURL https://supermariomakerbookmark.nintendo.net/courses/7E00-0000-0220-574BでGETリクエストを行います。