如何在Postman中设置CSRF令牌
在Postman中设置CSRF令牌,可以通过以下步骤实现:
- 首先,确保你已经安装并打开了Postman工具。
- 在Postman的请求头中,找到"Headers"部分。
- 在"Headers"部分中,添加一个名为"X-CSRF-Token"的请求头。
- 在"X-CSRF-Token"请求头中,填入你的CSRF令牌的值。
- 保存并发送你的请求。
CSRF(Cross-Site Request Forgery)跨站请求伪造,是一种常见的网络安全漏洞,攻击者利用用户已登录的身份在用户不知情的情况下进行恶意请求。为了防止CSRF攻击,服务端通常会在用户访问页面时生成一个CSRF令牌,并将其嵌入到页面中。前端在发送请求时,需要将该CSRF令牌作为一个请求头一同发送给服务端,服务端会校验该令牌的有效性。
设置CSRF令牌的好处是增加了系统的安全性,有效防止CSRF攻击。CSRF令牌在每次请求时都会发生变化,攻击者无法伪造有效的令牌进行恶意操作。
CSRF令牌的应用场景主要是在需要保护用户登录状态下的敏感操作,比如修改密码、删除账户等。通过在Postman中设置CSRF令牌,可以方便地模拟用户在发送请求时携带CSRF令牌的场景,进行相应的测试和调试。
腾讯云的相关产品中,推荐使用腾讯云的Web应用防火墙(WAF),它可以帮助保护Web应用程序免受常见的网络攻击,包括CSRF攻击。通过配置WAF规则,可以有效防御CSRF攻击。
更多关于腾讯云Web应用防火墙的信息和产品介绍,可以参考腾讯云的官方文档:Web应用防火墙(WAF)
请注意,以上答案仅针对问题中提到的具体内容,不涉及云计算品牌商。
相关·内容
请求头中的cookie如下所示:
当我注销或会话到期时,我无法在Postman中发出GET请求,因为这两个值每次都不同。
我不知道如何自动生成csrf令牌和jsessionid,并将它们包含在Postman的响应头部分,这样我就可以不用手动添加它们了。
如果有人帮我的话会很感激的。提前感谢!
浏览 6提问于2022-07-11得票数 -1
3回答
我正在尝试用Postman测试我的web服务器的登录。首先,我向我的登录url发送一个GET请求,并获得一个作为cookie的CSRF令牌。然后,我使用用户名、密码和CSRF令牌向该登录页面发出POST请求。
我的问题是,当我在Postman中这样做时,当我试图发出登录的POST请求时,我得到了一个403禁止的错误。我正在复制收到的CSRF令牌,并将其作为POST参数之一,并且我使用了有效的用户名和密码。这里有什么我没注意到的吗?
浏览 1提问于2017-04-04得票数 9
1回答
为什么我从axios请求得到的x-csrf令牌与我从postman得到的不同?这就是我得到它的方式
headers: {
"X-CSRF-Token": "FETCH"
}
此外,我不能在Postman中使用axios请求中的x-csrf令牌,它被拒绝,并显示错误消息,表明它不是有效的x-csrf令牌。
而且,每次我执行GET请求时,来自axios的令牌都不同。来自Postman的令牌在大约10-15分钟内保持不变。
来自邮递员的Token : t7HbFUE0sgE4vM36BN_u_Q==
来自Axios的令牌: 16c47S-pA5oxZu6t_pUi
浏览 3提问于2020-02-25得票数 0
有一个关于Spring安全csrf保护的问题。是否仅当我从Postman等REST客户端进行REST调用时,CSRF才会触发403状态?在我们的代码中进行REST调用时,是否会触发403状态?如果是,如何保持csrf保护并进行REST调用?
浏览 14提问于2018-03-01得票数 1
我正在使用Postman Rest客户端来访问rest服务。当我试图从Postman客户端执行rest服务时,我得到了以下错误。
HTTP Status 403 - Cross-site request forgery verification failed. Request aborted.
看起来rest服务是通过实现CSRF令牌来保护的。有没有人知道如何获取CSRF令牌并在将来的请求中重用它?
浏览 4提问于2016-09-08得票数 4
回答已采纳
1回答
在Spring应用程序中,我创建了一个具有以下配置的WebSecurityConfigurerAdapter:
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("student").password(passwordEncoder().encode("password")).roles("STUDE
浏览 0提问于2019-09-26得票数 1
回答已采纳
嗨,我正在尝试在反应js和表达js应用程序时,酸化js保护。express与postman一起正常工作,当我将_csrf : token附加到req.body时,它就会正常工作,否则会抛出无效的csrf令牌。当我使用axios在没有csrf令牌的情况下调用perfect.But应用程序时,请提供帮助。谢谢
以下是快递的代码:
const express = require('express')
const cookieParser = require('cookie-parser')
const csurf = require('csurf')
浏览 0提问于2021-04-27得票数 0
回答已采纳
1回答
这里有谁对services服务上的X-CSRF-Token行为有很好的了解,特别是在使用Windows Auth ( OData )身份验证时?
我正在针对GET/PUT服务进行开发,这些服务在通过Postman进行测试时表现良好;X-CSRF-令牌检索发生在PUT调用之前,PUT调用在提交回令牌时被接受(以及来自SAP Portal会话的cookie)。
测试服务在HTTPS上,例如:('parameter')
当尝试从.NET客户端应用程序时,GET调用工作正常,包括令牌检索,但PUT返回403 'CSRF令牌验证失败‘错误,尽管似乎有效的令牌通过。
通过Fiddl
浏览 1提问于2016-11-29得票数 1
1回答
我正在尝试获取x-csrf-令牌,以便在以后的调用中使用它。我的脚本如下所示:
Sub ExternalTrigger_Click()
Dim response As String
Set objHTTP = CreateObject("MSXML2.XMLHTTP")
Url = "XXXXXXXXXX"
username1 = "XXXXX"
password1 = "XXXXX"
objHTTP.Open "GET", Url, False, username1, password1
objHTTP.set
浏览 1提问于2020-11-04得票数 0
回答已采纳
我正在尝试在我的Node服务器中设置会话cookie,这是一个电子应用程序的后端。我正在试着遵循这个指南。
我困惑的第一件事是在“登录”部分这个函数是从哪里来的:const csrfToken = getCookie('csrfToken')是'getCookie‘,是我应该自己编写的函数吗?
我也没有完全理解"create session cookie“代码片段的逻辑:
const csrfToken = req.body.csrfToken.toString();
// Guard against CSRF attacks.
if (csrfTok
浏览 1提问于2018-05-28得票数 6
1回答
我在通过postman或Java "io.restassured“发送API请求时遇到了问题。当我对UI执行相同的操作时,请求会返回正确的响应,但是当我通过postman或java代码尝试相同的操作时,会得到以下结果:
401不良请求
您的浏览器发送了无效请求。
java代码
public static void main(String[] args) {
String requestUrl = "exampleBaseUrl/app/reports/api/rest/v1/graphs?context=shipper&repo
浏览 0提问于2018-10-01得票数 1
对于HTTPS-Post请求,x-csrf-令牌验证存在问题.请求来自由Amazon技能触发的Lambda函数,并被发送到SAP数据库中运行在SAP平台上的XSO数据文件。我使用Javascript/Node.js。
在请求头中设置有效的令牌(请参见下面第一张图片中的代码),但是响应标头显示的是x令牌“必需”(参见下面第二张图片中的代码)。因此,验证有一个错误。与POSTMAN相同的post请求正常工作,但是当我通过JS File作为Lambda函数尝试它时,HTTP状态代码403会出现这个错误(参见下面第二张图片中的代码)。POST请求本身工作,但令牌验证不起作用。让请求正常工作。
有谁知道
浏览 2提问于2017-12-19得票数 0
回答已采纳
希望有人向我展示如何使用JSON和Django REST框架发出简单的POST请求。我在任何地方都没有看到这方面的例子吗?
这是我想要发布的角色模型对象。这将是一个全新的角色,我想添加到数据库,但我得到了一个500错误。
{
"name": "Manager",
"description": "someone who manages"
}
以下是bash终端提示处的curl请求:
curl -X POST -H "Content-Type: application/json" -d '[
浏览 3提问于2013-07-06得票数 48
回答已采纳
我想从postman或java点击登录api和生成坏csrf令牌的错误。
有没有解决这个问题的解决方案,或者我们禁用了csrf令牌?
浏览 6提问于2020-05-14得票数 4
2回答
我正在为一个iOS api开发一个RoR应用程序(我的同事做的)。我正在尝试开发登录部分,但是在POSTMan中测试api时,我注意到它需要一个CSRF令牌。有办法绕过api调用来获得CSRF吗?
附带注意:我使用的是AFNetworking 2.0
浏览 4提问于2014-07-30得票数 1
回答已采纳
1回答
我正在用Vue开发一个SSR应用程序。API是使用Laravel框架创建的,我使用axios向API发送请求。
我必须在服务器端发出一个POST请求,以获取它的响应并在初始页面加载时呈现它。为了为POST请求获取CSRF令牌,Laravel提供了一个端点,它以JSON的形式发送CSRF响应(而不是cookie,因为cookie不能在服务器端使用)。
我以下列方式附加csrf令牌:
this._vm.$api.post('/api/ssr-csrf-token').then(response => {
console.log("Token: ", r
浏览 4提问于2021-12-07得票数 0
在角度上,我得到一个CSRF令牌,如下所示:
// Get CSRF token and set as header
var csrfRequest = Auth.getCSRF().then(function(data){
console.log(data.data._csrf);
$rootScope.csrf = data.data._csrf;
});
它将新令牌记录到控制台(这很好)。
然后,我尝试登录到一个sails.js api。以下是请求:
POST /auth/login HTTP/1.1
Host: localhost:1337
Connection: ke
浏览 5提问于2015-01-23得票数 1
回答已采纳
我和Laravel5.2和angularjs一起工作。我在html文件中生成令牌,如
<script>
angular.module("heliops").constant("CSRF_TOKEN", '<?php echo csrf_token(); ?>');
</script>
将此令牌发送到登录请求中,如
$http.post("authenticateAndLogin",{"email":$scope.loginData.email,"passwor
浏览 4提问于2016-03-31得票数 0
最近,我正在学习一些Web安全的基础知识,有些东西我无法理解。如何在SPA通信中使用反CSRF令牌?
据我所知,SPA通信中使用了反CSRF,具体如下;
浏览器向API发送登录请求。
API服务器生成一个令牌并将其发送回浏览器。
浏览器存储它,当浏览器发出下一个请求时,与be一起发送令牌。
API可以确保请求来自真正的前端,因为它包含令牌。
我脑海中突然浮现出一个问题--它怎么能阻止CSRF呢?如果令牌存储在cookie中,它将在请求发生时自动发送到API,就像通常的会话cookie一样。即使它存储在其他存储中(比如会话存储或本地存储),也可以使用JavaScript访
浏览 5提问于2022-09-29得票数 2
回答已采纳
1回答
我想提供一些API,例如通过ReactJS接口登录和注销。我看到Django文档,它提供了一些urls,比如登录和注销。这是否可能只是利用帐户下的登录和注销api /而不创建模板,并在Postman中试用它们呢?我试着用邮件请求:
{
"username": "admin",
"password": "admin"
}
和带有csrfmiddlewaretoken令牌和csrftoken的cookie,但是得到了错误Forbidden (CSRF token missing or incorrect.): /acc
浏览 2提问于2019-01-31得票数 1
回答已采纳
我有一个Django Rest框架APIView类,如下所示:
class HelloView(APIView):
def get(self, request):
clients = client.objects.all()
serializer = ClientSerializerAPIView(clients, many=True)
return Response(serializer.data)
def post(self, request):
serializer = ClientSerializerA
浏览 1提问于2019-02-27得票数 2
回答已采纳
1回答
我真的很想扩展这个话题,,因为我已经把头撞在墙上好几个星期了,我不能是唯一有这个问题的人。所有有关通过POST登录或使用CSRF登录的主题都不可避免地回到了上面的链接。
然而,在这个链接中描述的食谱似乎不适用于我。它们都假定,一旦您访问登录页面,就会创建CSRF令牌。但是在我们的站点上,CSRF令牌只创建一次登录。
我用Postman进行了测试,在您登录之前,HTML或头中没有CSRF令牌。
我还用以下代码在Cypress中测试了它:
describe('gimme dat csrf token', () => {
it('try to get the
浏览 1提问于2021-10-20得票数 2
回答已采纳
使用allauth和django-rest-auth创建facebook登录api。我跟踪了这两个包的文档,并使用了来自的示例。我已经完成了所有的步骤,我可以从DRF浏览API视图成功地使用这个API,并且它正在成功地执行注册。当我从其他地方(如postman )尝试这个API时,它要求获得CSRF令牌。
我试过使用csrf_exempt装饰器,但这在这个url上似乎并不有效。
下面是我的url配置:
url(r'^rest-auth/facebook/$', csrf_exempt(FacebookLogin.as_view()), name='fb_login
浏览 1提问于2017-10-27得票数 1
回答已采纳
1回答
我用spring boot创建了后端,其中需要csrf令牌。
我正在尝试使用postman测试我的api。
当我尝试调用我的api时,收到以下错误消息
{
"timestamp": 1427179894398,
"status": 403,
"error": "Forbidden",
"message": "Expected CSRF token not found. Has your session expired?",
"path": &#
浏览 3提问于2015-03-24得票数 3
我使用Vuejs作为前端,Django rest框架作为后端,我有一些困惑如何使用csrf令牌,我的问题有两个部分,首先我写我的配置。
首先,正如所说,“如果你的视图没有呈现一个包含csrf_token模板标签的模板,Django可能不会设置CSRF token cookie。这在表单被动态添加到页面的情况下是很常见的。为了解决这种情况,Django提供了一个强制设置cookie的视图装饰器:ensure_csrf_cookie()",所以这是我的视图,它呈现加载了webpack包的页面。
@ensure_csrf_cookie
def main_view(request):
浏览 5提问于2021-04-10得票数 0
我在Controller中应用CSRF,方法是添加以下内容:
class ApplicationController < ActionController::Base
protect_from_forgery
end
我使用Postman对我的API做了一个post请求。有趣的是,我无法验证CSRF,但是我发送的数据仍然被插入到DB中。
这是服务器日志。
Processing by Api::ListingsController
Parameters: {"listing"=>{...}}
Can't verify CSRF to
浏览 3提问于2015-10-30得票数 2
我在试着把我的
$httpProvider.defaults.headers.common['X-CSRF-Token'] = $cookie.auth_token;
在我的应用程序的.config部分,但它似乎还不能访问文档/cookies?有没有更好的地方来设置这个?
我这样做是因为我将我的用户的auth_token存储在cookie中,这样他们就不需要在每次使用我的移动应用程序时都登录。
谢谢!
浏览 1提问于2013-06-23得票数 3
回答已采纳
目前,我已经在我的web应用程序上使用了登录功能,在我发出登录请求后,服务器会响应一个包含2个令牌的JSON对象: 这是登录函数: async function login() {
const data = {
"email": "user1@gmail.com",
"password": "testPassword123"
}
const response = await Backend.post('auth/login/', da
浏览 16提问于2020-10-29得票数 3
使用Spring引导实现的Rest服务和使用Spring安全保护的Rest服务部署在wildFly 10上,而Rest应用程序则部署在NodeJS上。
应用程序在Tomcat上部署时可以工作。在野生苍蝇上部署时,get服务正在工作,但对于post,则会出现错误
"403禁用“”在请求参数'_csrf‘或头’XSRF‘上发现无效的CSRF令牌'null’“
当我们将来自postman的XSRF令牌设置为post服务时,它可以工作,但是从角度上“XSRF令牌”不是作为请求头传递的。在服务器端,cookie值在请求中为空。
尝试了以下选项,但仍然面临相同的问题
浏览 0提问于2018-04-25得票数 1
上下文
使用Postman,我向我的Laravel发送了一个PUT HTTP请求。
期望行为
邮递员应该显示“测试”作为回应。
实际行为
Postman显示错误"Parse :响应有一个重复的“内容长度”标题“作为响应。
路线
我在api.php中定义了以下路由:
Route::put('/test', function(Request $request) {
return 'test';
})->name('test');
此路由存在:实际上,php artisan route:list返回以下内容..。
PUT /
浏览 6提问于2021-03-11得票数 0
晚上好,
继之后,我们面临着一个新的问题。我们试图让POST请求(登录)在Android上工作,使用Volley库来发出HTTP请求。/login/在Postman或Advanced客户机上运行良好,但在使用Volley时却不起作用。我们已经看到许多其他人面临这个问题,并试图找到一个答案,但唯一的答案是禁用CSRF,我们真的不想这样做。
邮递员的回复是200 OK。
在Android上,响应是被禁止的403 : cookie没有设置。
因为我们将CSRF_USE_SESSIONS设置为True,这对我们来说是没有意义的。
CSRF_USE_SESSIONS在Django是真实的
用于在
浏览 5提问于2017-09-02得票数 0
我有一个使用相同auth中间件的API。因此,当我成功登录时,我被重定向到从同一个应用程序的API中获取数据的页面。在我的app.blade.php中,我只添加了axios和一个简单的html,并且注意,我的头中甚至没有一个csrf-token元,除了登录页面中的,它在我的表单中包含了@csrf。
这是我的app.blade.php布局
<html lang="en">
<head>
<meta charset="UTF-8">
</head>
<body>
@yield('conten
浏览 2提问于2019-08-10得票数 1
回答已采纳
1回答
我正试图找出如何使用Postman验证Django REST框架。我有邮递员拦截器。但无论我如何尝试,我似乎得到了一个403 - CSRF验证失败.请求中止。
在chrome中,我进入DRF的默认登录点。输入用户名和密码,然后单击submit。它适用于Chrome。有了拦截器,我就能看到那条柱子。现在,如果我在邮递员中尝试相同的帖子,我会得到一个带有CSRF错误的403。这怎么可能?邮递员正在做和铬完全一样的事情。怎么会产生不同的结果呢?
这是我从Chrome登录..。
我在和邮递员做同样的事情..。
我遗漏了什么?我一直在阅读关于执行GET请求的内容,查看set-cookie
浏览 0提问于2017-03-12得票数 14
回答已采纳
在Django中尝试登录2个用户时,我遇到了一个小问题。我正在使用默认的身份验证函数和代码,如下所示
class CustomAuthToken(ObtainAuthToken):
def post(self, request, *args, **kwargs):
data1 = request.data
username = data1['username']
password = data1['password']
valid_user = authenticate(username=u
浏览 1提问于2018-05-30得票数 0
1回答
我正在测试一个web应用程序。CSRF在cookies和header中应用和发送,而不是以隐藏输入的形式发送。csrf令牌不会为每个请求更改,但会在会话期间更改。csrf令牌应该多久更改一次?它应该针对每个会话还是每个请求进行更改?应该由客户端还是服务器设置csrf令牌?应用csrf保护的最佳策略是什么?双重提交cookie?三次提交Cookie?或任何其他新策略?
浏览 2提问于2018-12-07得票数 0
1回答
我正在尝试制作一个webapp,它将运行在一个HTML页面上,允许用户通过JavaScript和ajax与服务器进行交互。我希望通过在每个请求中包含一个csrf令牌,使我的请求能够安全地抵御csrf攻击。
因为我的webapp只在一个页面上运行,所以我不能在视图中使用${_csrf.token} (或类似的东西)语法,因为视图将是一个json对象。相反,我希望有一个url,如"/security/csrf“,它返回与用户会话相关的令牌。(是的,这不完全是一种restful服务。)
有什么方法可以让我生成一个csrf令牌,让Security在验证登录时能够访问吗?另外,以这种方式使用cs
浏览 2提问于2015-04-18得票数 5
回答已采纳
1回答
如何防止任何可能的CSRF攻击我的公共WCF soap服务?
我知道主要的解决方案是使用CSRF令牌,但是我如何才能做到这一点呢?
希望有人能给我一些想法,或者至少告诉我WCF不能被CSRF攻击。
浏览 0提问于2016-05-16得票数 2
我想发送一个Ajax post请求,但是我得到了一些关于CSRF的问题。
下面是我的js代码:
function sendAjaxRequest(index){
var token = $('meta[name=csrf_token]').attr('content')
$.ajaxSetup({ headers: { 'csrftoken' : token } });
$.ajax({
method: "POST",
data: '{"value":
浏览 18提问于2016-08-23得票数 0
回答已采纳
2回答
我有一个Express服务器,在它上生成一个csrf令牌。我的服务器如下所示
const csrfProtection = csrf({
cookie: {
httpOnly: true,
},
});
server.use(express.json());
server.use(express.urlencoded({ extended: true }));
server.use(
cors({
origin: "http://localhost:3000",
credentials: true,
})
);
server.use(co
浏览 3提问于2021-10-20得票数 1
回答已采纳
1回答
zf2 csrf不工作
、、、、
我们很容易破坏ZF2的CSRF。如果在连字符(-)之后删除字符串,则CsrfValidator不会给出任何错误,令牌将被成功提交。
例如,CSRF token = 245454547kck-kjhjh2454dh在编辑令牌token = 245454547kck- ZF2之后成功地提交了表单,但它必须给出一个错误。
有人能检查一下这个问题并告诉我是否有解决这个问题的办法吗?
对于上述场景,我们使用:
$csrfValidator = new CsrfValidator(array(
'name'=> 'token_name',//(here i u
浏览 0提问于2016-01-20得票数 0
回答已采纳
我的网站是完整的SPA,所有经过身份验证的用户的请求都是使用访问令牌完成的,这是未经身份验证的用户可以访问的唯一表单是登录表单。那么csrf保护是必要的吗?如果我从我的网站上禁用csrf保护,我会面临哪些潜在的安全问题?谢谢。
浏览 4提问于2017-07-29得票数 3
回答已采纳
我有一个starnd Spring引导应用程序,并在sprint安全配置中配置了csrf,如下所示:
http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()).and().authorizeRequests()
.mvcMatchers(HttpMethod.POST,"/slam").authenticated()
.antMatchers("/myPage").authenticated()
浏览 0提问于2021-05-25得票数 1
回答已采纳
我正在尝试使用postman运行一个api。我的应用程序是在django 1.11.6中使用python 3.5开发的。
我的应用程序安装在ubuntu服务器上。我没有创建csrf令牌的登录机制。
以下是我所遵循的步骤:
点击左上角的“导入”选项卡。
选择“原始文本”选项并粘贴“我的cURL”命令。
点击import,我就在你的邮递员生成器中得到了命令
按“发送”按钮。
我的curl命令是:
curl -i -H 'Accept: application/json; indent=4' -X POST https://127.0.0.1/users/:
浏览 33提问于2017-10-25得票数 5
创建Post请求,在Http触发器azure函数中具有Azure blob文件的表单数据,给定文件的SAS、uri和令牌。
我有Http触发的天蓝色函数,在这个函数中我想调用API的post方法。在post请求中,我必须传递一个可用的文件到我的azure上,其中我有SAS、uri和token。我尝试了如下所示,但由于API端点期望post请求中的文件,它没有工作。
using (var client = new HttpClient())
{
using (var request = new HttpRequestMessage
{
浏览 7提问于2022-10-26得票数 0
CSRF数据生成器
var data = {
token: <?php echo csrf_token(); ?>,
hash: <?php echo csrf_hash(); ?>
};
// The `data` object will be sent as POST data to `example.com/recipient` via jQuery AJAX
CSRF数据验证器
<?php
$is_valid = method_or_function_for_csrf_validation( $_POST['token']
浏览 0提问于2020-08-03得票数 1
我使用的是spring security和java config。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/api/*").hasRole("ADMIN")
.and()
.addFilterAfter(new CsrfTokenResponseHeaderBindingFilter(), CsrfFilter.class)
.
浏览 223提问于2016-06-24得票数 46
帮助设置报头以消除该错误消息:"Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'."
HTML:
<meta name="_csrf" th:content="${_csrf.token}"/>
<meta name="_csrf_header" th:content="${_csrf.headerName}"
浏览 0提问于2016-09-11得票数 2
回答已采纳
我目前正在构建一个带有JavaScript/HTML前端的单一页面应用程序。前端调用用.NET编写的WEB。目前,我有一个HTML,用户在其中输入他们的凭据并单击登录。然后,AJAX请求被发送到WEB,该API对用户进行身份验证,并返回包含Json令牌的HTTP专用cookie。然后,浏览器在每个后续请求上发送此cookie,控制器对其进行验证。
上述方法运行良好,但缺乏CSRF保护。我正在努力找出实现这一目标的最佳方法。从我的研究来看,似乎有几个选择。
https://www.jamesward.com/2013/05/13/securing-single-page-apps-and-res
浏览 0提问于2017-01-04得票数 8
回答已采纳
2回答
我使用Codeigniter/PHP。我使用CSRF令牌(而不是CI本机版本,因为我有自己的表单实现),并且不时地没有验证令牌。
每个会话创建一次CSRF令牌:
function create_csrf_token() //If needed, creates a session variable; returns a hash to use for CSRF protection
{
$CI =& get_instance();
if($CI->session->userdata('csrfToken')) //the token alre
浏览 4提问于2014-05-22得票数 0
回答已采纳
我有一个简单的Like按钮,在与@csrf_exempt一起使用时效果很好
模板
<p id="like_count"> {{ topic.likes }}</p>
<span data-type="topic" title="Like"> {% csrf_token %}
<i class="fa fa-thumbs-up" id="liket" name="{{topic.id}}">
Ajax
$(function(){
$(
浏览 1提问于2015-10-06得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
