2回答
Ajax请求CSRF安全吗?
ajax、csrf
如果我的Ajax请求设置了X-Requested-With标头,我可以跳过CSRF检查这个标头是否存在吗?我能确保它不会被伪造(通过用户会话)吗?
浏览 0提问于2010-03-02得票数 2
回答已采纳
2回答
HTTP(S)使用随机标头请求安全性
javascript、security、csrf
我知道是-based应用程序的一个主要安全问题。
从外观上看,大多数框架都将CSRF令牌作为请求正文的一部分发送。然而,在我的例子中,这有几个原因;最重要的是,我不想扰乱传输层,因为它可能以许多不同的格式发送POST请求,而不一定都是JSON或x-www-form-urlencoded。作为解决方案,我正在考虑一种侵入性小得多的替代方案;具体地说,我正在生成一个随机标头:一个随机的标</em
浏览 0提问于2015-04-30得票数 1
4回答
无法检查请求是否为$request-> ajax ()和Laravel5.4的ajax
php、json、ajax、laravel、response
我在检查请求是否为ajax时遇到了问题。这是我的密码:Route::post('cookies-alert', 'CookiesController@weUseCookies')->name('cookies.weuse');{ {
if($request->ajax
浏览 0提问于2018-05-08得票数 0
1回答
xhr.withCredentials使帖子端点易受CSRF攻击吗?
csrf、ajax、cors、crossdomain
据我所见,有人可以将以下代码添加到恶意站点(让我们说:http://sth.malicioussite.com),并能够向第三方站点执行ajax请求,以及之前设置的任何cookies:如果这不是等级库的问题,也不是铬/火狐的实现问题,那么应该如何防范这些攻击呢?
浏览 0提问于2019-03-27得票数 3
回答已采纳
2回答
在laravel 5.1中面向302重定向
jquery、ajax、laravel
我将数据从ajax发送到控制器/方法,但当ajax命中方法时面临302重定向,但它仍然显示302错误。如果我直接从url访问ajax方法并返回任何内容,它就可以工作,但是如果我使用ajax调用ajax()函数,它就会重定向到登录视图。为什么?' =>
Route::post('ajax','GuestControll
浏览 0提问于2019-05-13得票数 1
1回答
基于AJAX GET方法的CSRF令牌保护
java、angularjs、ajax、spring、spring-security
我被网上的信息弄糊涂了。我想问一下,当我使用Ajax方法在HTTP报头中传递令牌时,从我的角度前端发送CSRF令牌安全吗?因为根据Spring文档,我不应该使用GET方法,但是另一方面,它没有提到在HTTP头中传递GET Ajax是否可以。如果我不应该使用GET,如何使用REST服务& CSRF保护?我应该放弃GET方法还是CSRF保护?
浏览 1提问于2016-11-05得票数 0
回答已采纳
2回答
这是一种合适的抗CSRF方法吗?
web-application、csrf
我有以下系统在我的网络应用程序,我想知道它是否安全。应用程序检测cookie中的CSRF令牌。服务器对标头中的令牌进行验证。我还没有看到任何关于是否可以使用cookie作为存储CSRF令牌的地方的确切信息。请指点我。
编辑:更详细的角度查找coo
浏览 0提问于2015-07-09得票数 3
1回答
如何使用ajax向服务器提交表单?
javascript、html、jquery、django、ajax
我正在尝试使用ajax向我的服务器发送一个按钮id来提交表单,因为我不想每次单击一个按钮时都加载一个新页面。但它不起作用,我不知道为什么。它甚至不再将按钮the更改为“x”。我是ajax btw的新手 下面是我的脚本: <script> for (var i=var form_data = new FormData(this); //Crea
浏览 15提问于2020-04-26得票数 0
1回答
飞行前是否请求ajax调用相同的原点域?
ajax、xmlhttprequest、cors、custom-headers
这个声明,X-Requested-With头阻止CSRF攻击的一种方法是,如果服务器不允许它,那么现代浏览器就不会允许javascript代码添加这个标头。如果有头,服务器可以确保请求不是来自另一个页面,用户可能已经打开了。
据我理解,浏览器确定在ajax请求中是否允许自定义标头的方式是通过发出飞行前请求。然后,服务器使用<em
浏览 7提问于2021-04-17得票数 0
2回答
从后端检测页面请求和API/XHR调用
api、http、xmlhttprequest、http-headers
有一个条目服务,它的作用类似于下游服务的外观/代理服务。服务需要能够检测请求是“页面请求”还是"api/xhr“请求来执行错误处理(302重定向或401)。到目前为止,已考虑:
为了强制所有"api/ xhr“请求遵循"/api”模
浏览 2提问于2019-11-25得票数 1
回答已采纳
1回答
为什么rails不验证CSRF的XHR请求?
ruby-on-rails、ajax、csrf
end为什么会这样呢?XHR请求是否意味着CRSF不需要使用Auth令牌进行验证?
浏览 1提问于2014-10-03得票数 0
回答已采纳
1回答
jquery保护
attack-prevention、csrf、protection
如何保护下列代码不受CSRF的影响?employee_id, employee_name: employee_name}, //code 下面是我的表单
浏览 0提问于2014-08-16得票数 0
2回答
CSRF起源和引用头只是检查主机?
csrf、rest、referer
注意:这个问题与链接可能的重复不一样。这个问题询问检查源/引用标头是如何防止CSRF的。这个问题是问如何实现具体的细节。
对于REST,我看到了许多防止CSRF的地方,您应该检查引用程序和源标头。是否只是检查主机是否相同?这计划是否也应加以审查?
浏览 0提问于2018-08-05得票数 1
1回答
使用dropzone发送正确的标题
ajax、laravel、vue.js、dropzone.js
我使用的是dropzone ,但作为一个vuejs组件: }当我<e
浏览 9提问于2017-07-15得票数 0
3回答
Axios请求:被CORS策略阻止
java、laravel-5、access-control
,/ "vue": "^2.5.17" / "axios": "^0.18"中,我需要读取外部数据,这些数据来自邮递员ok:在浏览过程中,我看到了请求的详细信息: axios.post(window.REMOTE_SEARCH_WEB, {
"query": "pc gamers",'Acc
浏览 1提问于2019-05-14得票数 1
回答已采纳
2回答
如何为我的vue应用程序编写ajax端点,以便从数据库中获取数据,同时只允许我的vue应用程序调用它们?
vue.js、vuejs2、vue-component
当用户更改下拉列表时,我需要对端点进行ajax调用,该端点获取数据并将其作为JSON返回。
我可以用Vue做事件的事情来发出请求,但是我如何保证Vue是请求者呢?有些人还可以查看chrome中的网络选项卡,并重播检索数据的请求。
浏览 0提问于2018-06-29得票数 2
1回答
javascript客户端设置CSRF令牌是否不安全?
javascript、security、csrf、websecurity
服务器将CSRF令牌传递给javascript,javascript将CSRF令牌作为XMLHTTPRequests上的头注入。
服务器检查头<
浏览 0提问于2019-07-03得票数 3
回答已采纳
我注意到表单提交中使用的令牌来防止CSRF攻击,尽管在2016年,很多人正在迁移到JS前端& restful后端。我很困惑,用这种方法不需要CSRF令牌了吗?我认为CSRF是表单提交的一个问题,因为所有的会话数据都是用每一个请求发送的。但是AJAX是不同的吗?也就是说,没有发送所有cookie(会话数据)?您可以假设我的API是由CORS (通过TLS)保护的,也就是说,访问控制-允许-原产
浏览 0提问于2016-03-03得票数 2
回答已采纳
1回答
反伪造令牌作为头字段还是AJAX上的Post值?
jquery、ajax、post、csrf
我现在正在上工作,以防止网站受到CSRF攻击。现在,我怀疑是否应该将令牌作为头字段或AJAX请求上的post值传递,因为它们似乎都能工作。医生上写着:
中间件还在XSRF令牌和XSRF令牌标头字段中查找令牌,这些字段通常在AJAX请求中使用。将其设置为我的头字段的缺点是,我必须将每个Jquery $.post更改为一个简单的$.ajax,以便设
浏览 3提问于2015-10-21得票数 2
回答已采纳
3回答
允许CSRF令牌在正文或头中发送是一种安全风险吗?
security、csrf、csrf-protection
大多数CSRF解决方案似乎坚持将CSRF令牌作为POST数据的一部分发送。
在我的情况下,发送的数据是json,我不控制发送的内容(而且我不想开始干扰json)。因此,我正在考虑将CSRF令牌作为标题发送。但是,我的应用程序的遗留部分仍然需要能够在主体中发送令牌(例如,从html表单提交)。因此,如果主体或头中出现有效的CSRF令牌,则我的CSRF</em
浏览 5提问于2014-06-17得票数 4
回答已采纳
云服务器
对象存储
ICP备案
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号