通过浏览器的刷新按钮重新提交表单时,csrf令牌不匹配
CSRF(Cross-Site Request Forgery)跨站请求伪造,是一种常见的网络攻击方式。攻击者通过伪造用户的请求,使用户在不知情的情况下执行恶意操作。
CSRF攻击的原理是利用网站对用户请求的信任,攻击者通过诱导用户点击恶意链接或访问恶意网站,在用户已经登录的情况下,利用用户的身份信息发送伪造的请求。当用户在浏览器中点击刷新按钮重新提交表单时,如果表单中包含了CSRF令牌,而该令牌与服务器端存储的令牌不匹配,服务器会拒绝该请求,从而防止CSRF攻击。
CSRF令牌是一种防御CSRF攻击的机制,它是在用户访问页面时生成的一段随机字符串,该字符串会被嵌入到表单中或者通过cookie的方式存储在用户的浏览器中。当用户提交表单时,服务器会验证表单中的CSRF令牌与存储在服务器端的令牌是否匹配,如果匹配则认为是合法请求,否则拒绝该请求。
CSRF令牌的作用是防止攻击者伪造用户请求,因为攻击者无法获取到用户的CSRF令牌,所以无法伪造合法的请求。通过使用CSRF令牌,可以有效地保护用户的数据安全和用户的身份信息。
在腾讯云的产品中,可以使用腾讯云的Web应用防火墙(WAF)来防御CSRF攻击。腾讯云WAF可以对用户的请求进行实时监控和分析,识别和拦截恶意请求,包括CSRF攻击。腾讯云WAF还提供了丰富的安全策略和规则,可以根据实际需求进行配置,保护网站和应用的安全。
了解更多关于腾讯云Web应用防火墙(WAF)的信息,请访问腾讯云官方网站:腾讯云Web应用防火墙(WAF)
相关·内容
我使用的是代码点火器3.0.6。目前在有搜索功能的一个页面网站上工作。我在codeigniter的配置文件中启用了csrf_protection选项,并使用form_open()函数创建表单。
当我按submit按钮时,搜索功能运行良好,但在提交表单后,我刷新页面(具有刷新页面的任何功能)。从keybord或浏览器刷新),CSRF不工作,并显示错误“您请求的操作是不允许的”.。
注意:,我正在使用post方法提交表单&将csrf_regenerate设置为true。
浏览 1提问于2016-08-29得票数 1
1回答
提交表单后,用户单击“上一步”按钮,如何防止数据被重新提交。我读到的很多东西都表明,解决这个问题的方法是实现PRG“模式”。
我找到了这个网页,我想用它作为例子。
当我执行这段代码时,我仍然可以单击back按钮,然后重新单击submit按钮,让表单重新提交数据,即使它是重定向的。所以,我不明白这是如何阻止重新提交表单数据的。
那么,以这个页面为例,如何修改代码来防止这种行为呢?
浏览 0提问于2012-12-01得票数 1
回答已采纳
1回答
我想要正确地实现一个CSRF令牌与验证到我的网站的形式。
以下是令牌的生成方式:
$_SESSION["token"] = bin2hex(random_bytes(32));
以下是窗体中的隐藏字段,它在每次提交表单或刷新页面时都会更改:
<input type="hidden" name="token" value="<?=$_SESSION["token"]?>">
下面是检查表单时所看到的一个例子:
<input type="hidden" name="
浏览 1提问于2022-08-10得票数 3
回答已采纳
2回答
我知道CSRF实际上是如何工作的,它通常将随机文本存储在会话中,并在HTML表单的隐藏令牌CSRF字段中具有相同的内容。当用户提交表单时,HTML表单令牌分别匹配会话CSRF和validate。
问题是,如果我刷新页面,将会生成新的CSRF令牌,并且在下一次刷新之前只有效一次。在这种情况下,如果我在新选项卡中多次打开相同的表单并提交后续表单,框架或任何人将如何在会话中存储令牌并验证它。它是存储最新的令牌,还是存储以数组形式生成的所有新令牌,在验证令牌后,它将从会话中删除该令牌。
当HTML表单在多个选项卡中打开并逐个提交时,我无法获得如何处理同一用户的多个令牌。
我正在将会话转储到控制器中,但
浏览 8提问于2017-12-29得票数 0
2回答
使用会话到期的PHP令牌
、、、
当用户来到我的登录页面时,我会生成一个CSRF令牌:
if (empty($_SESSION['csrf_token']))
$_SESSION['csrf_token'] = bin2hex(openssl_random_pseudo_bytes(32));
然后以我的形式将其显示为隐藏的输入:
<input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
浏览 1提问于2018-02-02得票数 1
回答已采纳
我们的错误日志偶尔包含导致ActionController::InvalidAuthenticityToken错误的合法表单提交。
我的假设是,存储在用户会话cookie中的CSRF令牌在加载表单之后但在提交之前已经发生了更改。这会导致POSTed令牌与cookie中的令牌不匹配,从而导致此错误。
如果Rails会话cookie仅在浏览会话结束时(即当web浏览器关闭时)到期,那么在不关闭浏览器的情况下,如何更改此cookie (及其包含的CSRF令牌)?
我们使用cookie来存储会话数据,这是Rails的默认行为。
浏览 11提问于2017-01-05得票数 10
回答已采纳
我的Rails应用程序具有一个面向公共的表单,它通过AJAX将用户输入作为字符串化的JSON传递给控制器。表单是为脱机使用而设计的,因此每次访问表单页(第一次访问除外)都是从浏览器缓存(使用缓存清单)提供的。在表单提交返回422 unprocessable entity错误时,我遇到了一个问题,除非浏览器历史记录在导航到窗体页之前已经清除.也就是说,用户只能提交一个表单,所有后续提交都是422,除非它们清除历史记录并返回表单刷新缓存。不幸的是,那是不会飞的。
我对Rails安全没有很大的经验,但我的印象是,这与CSRF保护有关,而且对于任何访问表单页面(第一页除外)的情况,都会传递一个过时的C
浏览 1提问于2016-06-28得票数 1
回答已采纳
2回答
注意:这个问题是而不是关于失败的AJAX请求,是关于失败的常规表单提交。
我在CodeIgniter 3中启用了CSRF保护,使用了以下config.php
$config['csrf_protection'] = TRUE;
$config['csrf_token_name'] = 'csrf_token_name';
$config['csrf_cookie_name'] = 'csrf_cookie_name';
$config['csrf_expire'] = 7200;
$config[&
浏览 0提问于2018-02-06得票数 0
1回答
我从web2py文档()中读到
web2py通过向每个表单分配一个一次性随机令牌来防止CSRF以及意外地双重提交表单。此外,web2py使用UUID作为会话cookie。
如果web2py生成的页面上的表单是随机标记的,那么是否有人愿意向我解释上述方法是如何阻止CSRF的?另外,cookie中的UUID不会阻止CSRF,因为cookie是与恶意请求一起自动发送的,对吗?
据推测,恶意站点可以通过外部形式执行在上描述的攻击:
..。易受攻击的请求如下所示:
POST HTTP/1.1 acct=BOB&amount=100
这样的请求不能使用标准的A或IMG标记传递,但可以使
浏览 3提问于2016-11-12得票数 1
回答已采纳
1回答
我有一个用Ajax提交的登录表单。在一个特定的情况下,在用户登录后,我需要用Auth::logout()将它们注销,并显示一个附加的模式框。所有这些都是在没有重新加载页面的情况下发生的。
当登录模式被打开并再次提交时,我会得到一个令牌不匹配错误。之所以会发生这种情况,是因为注销使用了Session::flush()。在此之后,刷新_token会话变量,而登录表单中的_token输入保持不变(因为前面提到缺少页面重新加载)。
如何在登录表单中刷新CSRF _token,以便以安全的方式与会话中刷新的CSRF进行匹配?
浏览 0提问于2015-03-17得票数 1
回答已采纳
文档中写道,在表单中包含Zend_Form_Element_Hash元素就足够了,而且Zend_Form会自动处理CSRF保护。
我像这样添加了令牌:
$token = new Zend_Form_Element_Hash('security_token_against_csrf');
$token->setSalt($this->_helper->randomString());
$form->addElement($token);
但在提交任何包含此类令牌的表单后,我会收到以下错误:
The two given tokens do not match
浏览 0提问于2010-10-20得票数 0
回答已采纳
1回答
我目前正在编写我的PHP CSRF保护类,它目前的工作方式是,当我使用POST A令牌发送的表单与它一起发送时,我会检查该令牌是否与会话中存储的令牌匹配,如果匹配,那就太好了……
然而,我的问题是,每当使用POST提交HTML表单时,如果我使用F5刷新页面,或者只是刷新页面,就会导致令牌失衡。如何防止此表单重新提交?
我的表单需要通过将操作设置为同一页面来工作,因此将HTML表单中的操作设置为另一个页面/文件不是我的选择。
浏览 0提问于2017-04-07得票数 0
我有表格。在提交按钮时,它会将记录插入到数据库中。如果我回到我的浏览器并刷新页面,它将重新提交它,如您所能想象的那样,会导致各种各样的问题。如何确保用户不能刷新上一页,并且该页面的状态在刷新时会自动提交,就像这样?
,,我不使用ViewState。实际上,我在页面指令No中禁用了它,Response.Redirect不能解决这个问题。用户仍然可以返回浏览器的back按钮,并在提交的地方刷新,它仍将运行按钮的事件,将数据发送到我的DL插入
浏览 1提问于2009-11-10得票数 1
2回答
我使用Vue js作为SPA,使用Laravel作为后端。一切都很好,但是表单提交后,crsf令牌显然没有刷新,所以当我提交另一个表单时,我会得到一个TokenMismatchException。
我不能将csrf令牌放到表单中,因为vue在尝试呈现表单时抛出错误,因为表单是vue中的一个组件。
我可以使用vue的默认公共头来访问csrf令牌,方法是搜索name=_token,它将在第一个请求上工作,但在Laravel之后的任何请求上都会返回一个TokenMismatchException,因为该令牌最近已被当前登录的用户使用。
我需要找出一种方法,这样可以刷新令牌,而不必刷新页面,因为这样它
浏览 0提问于2017-01-24得票数 2
2回答
我有一个HTML表单,它有时提交,有时不提交。表单是使用一个按钮提交的,该按钮使用javascript验证表单,然后也使用javascript提交,如下所示:
<form id="my-form">
<input type="hidden" name="csrf-token">
<input type="text" name="1">
<input type="text" name="2">
<button onc
浏览 0提问于2015-11-06得票数 0
1回答
在ZF2表单中有什么方法可以防止多个表单提交吗?我已经测试过带有Captcha和CSRF功能的isValid()元素,但它们并不能阻止多次提交,特别是那些带有浏览器刷新按钮的。提前感谢
浏览 0提问于2014-11-11得票数 3
1回答
我已经通过了这个,但是答案并没有解决我的问题。
出现的问题是,如果用户按下浏览器的后退按钮返回提交的表单,则输入的数据将继续存在,并且用户能够“重新提交”表单。我怎样才能防止这种行为(拉拉的方式)?
我的route.php看起来就像
Route::group(array('after' => 'no-cache'), function()
{
Route::get('/', 'HomeController@index');
Route::ANY('/search','HomeController@se
浏览 2提问于2013-07-24得票数 4
回答已采纳
在提交表单之前用JavaScript创建CSRF令牌有什么问题吗?示例:
var csrf_token = Math.random();
// Write csrf token to cookie.
// Add csrf token to the form being submitted.
// Submit form.
// Verify cookie csrf to form csrf on the server.
// When request is done; remove the cookie.
// Rinse and repeat.
我知道这很容易受到XSS的攻击,
浏览 0提问于2017-03-01得票数 8
我在Laravel是新来的,我使用的是Laravel5.5。
在没有{{ csrf_field() }}的情况下提交时,在验证csrf令牌时没有获得错误令牌不匹配异常。
错误是
由于不活动,该页已过期。请刷新并重试
我的HTML表单是
<form method="POST" action="/post">
<div class="form-group">
<label for="title">Title</label>
<inp
浏览 9提问于2017-09-12得票数 0
我们的Rails 3应用程序中有一些页面生成两组CSRF令牌:一个在页面头中使用csrf_meta_tag,另一个在自动生成的表单中。我们的再培训局是这样的:
布局:
<html>
<head>
<%= csrf_meta_tag %> <%# Generates CSRF tokens %>
</head>
<body>
<%= yield %>
</body>
</html>
查看:
<% form_for @my_model do |f| %&
浏览 2提问于2014-06-18得票数 1
回答已采纳
我有一个“客户详细信息”表格,提交一个帖子请求。这是在Spring应用程序中实现的,是作为Thymeleaf模板实现的。我刚刚在表单中添加了一个小小的AJAX函数--当用户单击某个按钮时,它使用根据客户的地址查找地理代码。AJAX调用是一个GET请求。
如果我输入customer表单并单击"Submit“而不碰Ajax按钮,它将正常提交。但是,如果我首先使用Ajax按钮,然后尝试提交表单,它就会被CsrfFilter用消息"Invalid CSRF token found for http://...“停止。
我假设Ajax调用正在使CSRF令牌过期,因此需要一个新的标记,但我
浏览 5提问于2020-04-06得票数 0
我在两页上有两个表格,一个指向另一个。当在页面1上按下“提交”时,它会将您带到页面2上的表单。页面2失败,并显示"CSRF验证失败。请求已中止“。原因是"CSRF cookie未设置“。
奇怪的是,如果我直接转到第2页,它就可以正常加载。如果我刷新页面并重新提交表单,我将再次获得403'd,但是,例如,如果我进入地址栏并按"Enter“重新访问该页面,则加载时不会出现错误。怎么回事?
我使用的是Django的最新版本,我在所有的视图中都使用了render,在所有的表单标签中都使用了{% csrf_token %}。
为什么重新访问页面会修复403错误?表单之间没
浏览 1提问于2018-03-01得票数 1
2回答
我正在创建表单,不管我怎么做,CSRF _token总是一样的!
如果我用
{{ Form::open([route' => 'login']) ]]
或者如果我用
{{ Form::token() }}
每次都是一样的。在我提交了一个成功的表单后,甚至是。我想它会被消耗掉,一个新的会产生,但是不!
我错过了配置步骤吗?
注意:我知道如果laravel_session被重新生成,_token是不同的,但正如我所理解的,CRSF令牌也是避免多个表单提交的机制,所以它应该在每次刷新页面时更改,或者至少在一个成功的post提交之后使用之后,不是吗?
浏览 4提问于2014-07-19得票数 8
回答已采纳
2回答
应用程序具有多因素登录。用户登录其电子邮件和密码,然后以下屏幕询问一个通过电子邮件接收或由移动应用程序生成的一次性密码。
在第二个屏幕中,还有一个名为"cancel登录“的链接,指向例如/login/cancel。用户可以单击此按钮取消登录进程,进程的会话/cookie将被清除,您将不得不重新开始。
我的问题是关于这种“行动”的链接。单击它实际上会发送一个GET请求,但不仅仅是为了显示页面或检索数据,而是为了在应用程序中执行一个操作。在实践中,另一个网站可能包含一个链接,甚至一个图片,指向我们的应用程序的“登录取消网址”,并注销未知的用户。简单地说,是CSRF的攻击。
我使用Larav
浏览 0提问于2023-05-30得票数 1
在我们的Rails应用程序中,用户一次打开多个浏览器选项卡几个小时或几天是很常见的。当在其中一个选项卡中,用户注销然后重新登录(或者会话到期并创建新会话)时,就会出现问题。
这会导致所有其他选项卡上的CSRF身份验证令牌无效。如果他们试图在不刷新的情况下提交任何表单或在这些选项卡上发出任何ajax请求,他们将得到一个错误(实际上会被注销,因为这是传递不正确的身份验证令牌时的默认Rails行为)。
这种行为显然是不可取的。我想知道人们如何优雅地处理这样的情况,即用户打开了您的网站的窗口,但真实性令牌已过期。
我不想做的只是将他们重定向到登录页面,因为这样他们可能会丢失他们的工作,例如,如果他们一
浏览 0提问于2012-05-05得票数 7
回答已采纳
我正在为laravel 5.2框架工作,我正在维护和保护我们的代码。现在我面临着一个问题。假设有一个这样的登录表单:
<form id="userLoginForm" method="post" action="{{ url('/login') }}">{{csrf_field()}}
<label>Email: </label>
<input type="text" name="email" autocomplete="off" pla
浏览 2提问于2017-09-11得票数 0
1回答
我在HEAD标记中有<%= csrf_meta_tags %>,但是我手动创建了表单,所以authenticity_token隐藏字段不会插入到表单中。
所以我手动添加了authenticity_token:
<input name="authenticity_token" value="<%= form_authenticity_token %>" type="hidden">
当我发送网站的默认联系人表单(用户未登录)时,处理该表单的操作应验证令牌并允许/拒绝请求。但事实并非如此:我使用jQuery清空字段
浏览 7提问于2016-07-01得票数 0
1回答
我有一个带有django管理面板的网站,它工作得很好,但我看到的是在刷新管理面板中的表单时,csrf cookie没有重新生成,它显示的是一样的。
浏览 3提问于2016-01-14得票数 2
1回答
跨站点请求伪造
、、
我读过,它给出了一个很好的解释来防止CSRF,但是它仍然从我的大脑中消失。根据本教程中的方法之一,每个请求都包含一个随机令牌。因此,在形式上,他们包括了这样的东西:
<input type="hidden" name="<?php echo $token_id; ?>" value="<?php echo $token_value; ?>"
提交表单后,他们将检查令牌是否匹配。
如何帮助预防CSRF?
当攻击者向用户发送恶意链接时,当用户单击该链接时,根据我的说法,每次都会匹配令牌,我对此感到困惑。
浏览 2提问于2014-05-05得票数 5
回答已采纳
我的许多表单都是以multipart/form-data的形式提交的,在我的服务器上,这些表单都是在流中解析的,而且都是异步的。等待csrf令牌,接收它,然后拒绝它,同时一些表单已经被处理,这将是一件痛苦的事情。因此,我发现在提交时将其设置为表单上的查询变量要容易得多。当用户请求页面时,我仍然会将其作为隐藏的表单值传递。这样做有风险吗?
浏览 0提问于2015-09-28得票数 0
第1页:我的模板中包含{% csrf_token %}的表单。
第2页:感谢页。
当我在第1页提交表单时,它使用HttpResponseRedirect重定向至第2页...因此,如果用户刷新页面,它将无法重新提交...
但我只是注意到,如果用户返回到页面2到页面1...他可以再次按下提交按钮,然后重新提交相同的表单。所以..。有没有办法在我显示第2页时使第1页过期?
以防万一,我的中间件类是:
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'd
浏览 1提问于2015-02-02得票数 0
我正在添加CSRF令牌验证,我遇到了一个问题,我在一个页面上有两个表单,其中一个可以成功提交,另一个不能。我不是在做AJAX请求,我只是使用隐藏的输入字段。如果我提交表单时,它是页面上唯一的表单,它提交时没有问题。如果我在一个包含多个表单的页面上提交,它将失败。 下面是我的两个表单的模板代码 {{if .IsAuthenticated}}
<form action='/admin/logout' method='POST'>
<button>Logout</button>
{{.CsrfField}}
浏览 60提问于2021-01-03得票数 0
1回答
我读了很多关于CSRF保护的文章,但是我怀疑我还不能澄清,甚至在堆栈溢出的情况下也是如此。
因此,我使用烧瓶来构建一个web应用程序,并且有一个名为csrf_token的函数,您可以调用它生成一个令牌,并将它作为一个隐藏的输入(在本例中是登录表单)。但是,我在想,如果攻击者进入登录站点以获取他的csrf令牌,这是否会破坏站点上的csrf保护?因为这样他就可以将他的csrf令牌附加到ajax请求上,这基本上等于没有任何保护。
浏览 2提问于2019-07-16得票数 2
回答已采纳
1回答
很多人谈论实施CSRF来阻止网页上的跨站点攻击。但我认为很容易妥协CSRF并向服务器提出请求。
那它是怎么工作的?
从页面开始,呈现表单,并使用CSRF令牌保留一个隐藏字段。
当表单提交时,另一个页面将期望CSRF令牌来验证请求。
在验证请求时,服务器将检查带有秘密的CSRF令牌,以查看令牌是否有效。
现在秘密本身存储在会话或cookie中。
这意味着,如果我去一个网站,复制CSRF令牌从网页,会话值从浏览器网络选项卡。在此之后,我可以构造一个CURL请求,设置这些值,并尽可能多地发出请求。
那么,CSRF到底有什么需要呢?
浏览 3提问于2016-01-04得票数 3
回答已采纳
2回答
我在后端使用Spring引导创建Rest,并在前端响应js。我在React上有一个登录表单,是否应该在登录/注册表单上启用csrf令牌。
在用户登录之后,用户将获得访问令牌,我将将该令牌存储在React中的内存中,并将刷新令牌存储在http仅安全的cookie中。我应该在这里也使用CSRF令牌吗?
每当访问令牌过期时,我将使用axios拦截器发送请求刷新令牌路由,如果刷新令牌有效,则将获得新的访问和刷新令牌对。
前端正在本地主机上运行:3000,我在后端配置了cors,只允许来自原始本地主机的请求:3000。
我应该使用CSRF令牌吗。
浏览 20提问于2022-10-12得票数 0
回答已采纳
我登录计算机A和计算机B,从计算机A复制csrf,并将计算机B的csrf更改为计算机A的csrf,然后提交表单,提交成功。我是怎么处理这种骗局的。
浏览 1提问于2016-01-26得票数 3
我正在使用CI 2。我已在配置文件中启用了CSRF保护:
$config['csrf_protection'] = TRUE;
$config['csrf_token_name'] = 'sitename';
$config['csrf_cookie_name'] = 'sitename';
$config['csrf_expire'] = 7200;
我只使用Codeigniter表单。有时我在提交表单或登录时会收到错误消息“您未被授权执行此操作”。
如果我刷新并再
浏览 1提问于2011-08-09得票数 2
2回答
我使用了一个登录表单并通过POST AJAX请求提交了一个模式。我只能登录一次,当我注销并再次登录时,AJAX请求的错误消息是这个(CSRF失败)。
Prohibido (403)
Verificación CSRF fallida. Solicitud abortada
只有当我刷新按F5的整个页面时,登录才能再次工作。登录成功后,我只刷新标题,而不是整个页面。我的刷新代码是:
$('#update-' + idToUpdate).load(' #' + idToUpdate);
编辑: I发现CSRF令牌在成功请求后只能工作一次。我必须为表单再次工作生成一个
浏览 2提问于2017-08-20得票数 0
回答已采纳
1回答
我试图在我的新项目中实施CSRF保护。我也是这样做的,我为每个表单创建一个会话令牌,并且令牌存储在表单中的一个隐藏字段中。每次提交表单时,我都会检查POST中的令牌和会话中的令牌是否相同。如果它们是相同的,则完成所需的操作并更新会话令牌。
它工作得很好,但是当我们刷新提交的页面时,实际的问题就出现了。然后就会发生令牌错配。
我的问题是,对每个表单使用单个令牌而不更新每个表单提交的令牌是否安全?这能阻止CSRF吗?
浏览 2提问于2014-01-06得票数 0
回答已采纳
我见过这个问题好几次了,却找不到适合我的选择。
我有一个网页,你可以通过一个帖子。它需要将“example_id”发送到服务器。
该网页有一个供用户填写的表单。当他们提交表单时,我需要用户返回到同一个页面。
我需要阻止用户‘刷新’重新提交表单。我发现的最常见的解决办法是:
return HttpResponseRedirect('/<web_page/')
我尝试过这样做,并将kargs添加到函数参数中,但它似乎不起作用。
更新:我使用csrf令牌({% csrf_token %})来实现我的场景。如果用户刷新页面,那么csrf令牌将是相同的。因此,我在我的观点中检查这一
浏览 3提问于2019-09-18得票数 0
回答已采纳
问题:当我通过Ajax调用登录用户时,Laravel在同一页上的下一个Ajax帖子上返回一个419 CSRF令牌不匹配。 在结帐页面上,我为现有用户提供了一个登录按钮。单击时,它会向用户显示登录模式。如果凭据匹配,则用户无需刷新页面即可登录。当用户没有帐户时,会出现一个注册模式,它会注册用户并让他们登录。 当用户完成结帐过程并提交表单时,Laravel返回一个CSRF令牌不匹配错误。
浏览 34提问于2020-07-26得票数 1
回答已采纳
2回答
PHP中的CSRF保护
、、、
我有一些PHP POST脚本,我需要保护它们免受CSRF攻击,并且有多个问题:
1)如果我使用没有HTML表单的jquery向PHP提交POST请求,直接从HTML元素中获取值并使用jquery提交它们,那么我是否仍然面临CSRF的风险?
2)当用户登录到网站时,我会将他们唯一的令牌存储在会话变量中。在PHP POST脚本中,我检查会话变量是否已设置,是否具有与前面设置的值相同的值。这还不够吗?为什么标记也需要包含在HTML表单中呢?
谢谢
浏览 1提问于2014-11-15得票数 1
回答已采纳
1回答
我想重写一个单一的社交网站来使用JWT来进行身份验证,而不是传统的cookie/sessionm,我正在寻找一个安全的实现。我读到这里说:
您可能认为HttpOnly cookie (由服务器而不是客户端创建)会有所帮助,但cookie很容易受到CSRF攻击。需要注意的是,HttpOnly和合理的CORS策略不能防止CSRF表单提交攻击,使用cookie需要适当的CSRF缓解策略。
上面的文章给出了一个精心设计的两个JWT令牌,其中一个被设置为cookie,用于刷新用于身份验证的另一个。
另一方面,我看到现实世界应用程序的实现 (什么媒体使用)可以在httpOnly中保存JWT。因此,我对在前
浏览 0提问于2021-11-18得票数 0
我一直有一些问题,测试控制器,使用Play的CSRF保护。为了演示这一点,我创建了一个非常简单的Play应用程序,该应用程序尽可能地显示问题。
详细信息是关于该存储库的自述文件,但在这里总结如下:
考虑为处理表单提交而设计的控制器。它有一个使用CSRFAddToken的GET方法和一个使用CSRFCheck的POST方法。前者将CSRF令牌添加到请求中,以便表单字段可以放在呈现视图中,其中包含有效令牌。当提交该表单时,如果CSRF检查通过且提交有效,则会发生其他事情(通常是重定向)。如果表单提交无效,表单提交将与任何错误一起重新显示,以便用户可以更正表单并再次提交。
这个很好用!
然而,在测
浏览 8提问于2013-11-07得票数 4
回答已采纳
我最近看了一下CSRF。建议的缓解策略是实施同步器令牌模式。
当您查看细节时,问题是这些标记需要多久更改一次。同样,一般建议是每个会话令牌都足够了.如果您需要额外的安全性(或者如果您有一个泄漏CSRF令牌是一个问题的场景),您可以选择每个请求令牌。
在验证大型站点如何实现CSRF保护时,我查看了github.com。令我困惑的是,我不明白他们为什么要这样实施他们的方法。
我突然意识到,它们使用每个请求令牌(更多的是,每个表单令牌都是唯一的)。但是,旧令牌在使用后不会失效。我会举一个例子。
让我们考虑一下github概要页面:https://github.com/settings/profile
浏览 0提问于2015-10-19得票数 8
1回答
我读过几篇关于JWT刷新令牌以及如何/为什么使用它们的文章。我在这里看到的一件事是:和
使用刷新令牌可以减少CSRF攻击。第一条规定:
刷新令牌由auth服务器作为HttpOnly cookie发送给客户端,并由浏览器在/refresh_token API调用中自动发送。因为客户端Javascript不能读取或窃取HttpOnly cookie,这比将其作为普通cookie或本地存储保存XSS要好一些。这种方法在CSRF攻击中也是安全的,因为即使表单提交攻击可以进行/refresh_token API调用,攻击者也无法获得返回的新JWT令牌值。
第二篇文章说的是类似的东西:
虽然提交给/re
浏览 4提问于2021-01-24得票数 6
据我所知,当在服务器端启用CSRF时,服务器将创建一个令牌(例如token1)并将其注入到form中,并将其保存在客户机浏览器的cookie中。当客户端向服务器发送form请求时,它从浏览器cookie发送csrf令牌(token1),并发送与form中相同的令牌。服务器通过检查cookie中的令牌和form中的令牌匹配来验证请求,然后处理请求。
现在,如果我在另一个选项卡中打开相同的form,服务器会生成另一个令牌(token2)并将其注入form和cookie。然后,在cookie中, token1将被token2覆盖。那么,在第一个选项卡中提交的表单在这种情况下是行不通的吗?但根据经验,
浏览 2提问于2020-10-19得票数 1
我的申请有两个表单要提交输入来执行一些交易和计算,我想避免重新提交,我如何避免这种情况?
例如,如果用户尝试按下历史返回按钮,他应该不会看到前一个表单,而应该看到页面过期或自动重定向到第一个表单。
或者如何在Laravel中设置页面过期时间?
当csrf_token到期时,在超时后执行此操作,并强制用户转到第一页或登录页。
浏览 1提问于2016-05-15得票数 0
Rails 3,Backbone.js应用程序。
在提交POST表单之前,CSRF令牌不会更改。
表单一提交,CSRF令牌就会更改,我会得到“警告:无法验证CSRF令牌的真实性”
表单使用ajax提交。
浏览 2提问于2013-08-01得票数 1
我有一个带遥控器的form_tag : true。这是为会员订阅时事通讯。
我的布局中有"csrf_meta_tags“。当我提交表单时,我收到“无法验证CSRF令牌真实性”的警告。我想提一下,csrf_token既存在于布局中,也存在于表单中。
我在这个问题上找不到一个好的答案。
浏览 0提问于2013-12-18得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
