我有一台运行Yii2的服务器,其中只有一个API端点,另一台服务器有一个单页面应用程序,可以从Yii服务器获取所有数据。当应用程序成功登录时,我将JWT-Token存储在cookie中,并且我有一个基于此的自定义AuthMethod。据我所知,我需要在登录时
浏览 11提问于2018-08-17得票数 1
回答已采纳
最近,我正在学习一些Web安全的基础知识,有些东西我无法理解。如何在SPA通信中使用反CSRF令牌?
API可以确保请求来自真正的前端,因为它包含令牌。我脑海中突然浮现出一个问题--它
浏览 5提问于2022-09-29得票数 2
回答已采纳
1回答
Set环-抗伪造CSRF报头令牌
、、、、
由于我使用的是静态html文件,所以我发现内置的hiccup助手(它将表单中的令牌设置为无用)是无用的。这是我第一次尝试在web开发中使用Clojure,所以我猜我完全错过了对有经验的人来说应该是显而易见的东西。
中间件还在XSRF令牌和XSRF令牌标头字段中查找令牌。我认为它允许我在标头中设置令牌,而不必在表单字段<em
浏览 1提问于2013-12-06得票数 13
回答已采纳
我已经在angular2中创建了yii2应用程序和REST。Angularjs和Angular2都是非常不同的。我不知道如何在angular2 post请求中使用CSRF令牌.
Angular2和yii2没有任何连接。只有yii2中的api
浏览 3提问于2017-08-22得票数 0
2回答
几个小时以来,我一直在尝试使用Axios从独立的VueJS前端向我的Django应用程序中的端点发送POST请求。我的代码的问题是,无论我尝试什么,我都会得到Forbidden (CSRF cookie not set.),并且我不能使用@crsf_exempt。我尝试了我找到的所有可能的解决方案,从更改Axios请求中的标头名称到将CSRF_COOKIE
浏览 2提问于2021-03-26得票数 0
我想找出以下问题的答案。
它是正确的,还是技术上有效的功能?在RFC/security文档中,传递数组或尝试csrftoken数组的位置存在,或者在技术上是有效的?我附上了一个示例屏幕截图,说明我所看到的多个csrftoken具有不同的cookie路径和到期时间(多租户和各种表单路
浏览 1提问于2019-12-27得票数 6
我正试图为我的Node.js REST创建一种安全的身份验证方法,它既适用于直接API请求,也适用于我的React.js web应用程序。我已经阅读了一些关于如何正确地存储身份验证令牌以防止XSS和CSRF的研究,所以我想介绍一下我提出的内容,看看其中是否有漏洞,或者它是否有效。该方法将使用JWT、本地存储(React )和cookie (Nod
浏览 0提问于2019-07-09得票数 3
我正在尝试从移动应用程序调用路由,当我点击url时,它显示令牌不匹配错误,我不想从VerifyCsrfToken.php排除,有什么解决方案吗?
浏览 2提问于2017-04-04得票数 1
我使用Django REST框架在JSON中提供数据,并通过AJAX使用它们来刷新页面。如何保护正在使用数据更新的页面的url,并且没有人可以访问API URL。网址是可见的在AJAX中的html,所以它可以访问,但我想防止它的令牌或任何其他适当的身份验证,只有访问它有网站。URL是'/api/item/‘(参见AJAX代码中的)
seria
浏览 6提问于2017-05-07得票数 0
1回答
我们正在努力使用AngularJS和Restful服务在SPA中实现CSRF保护。
Cookie随请求一起返回。将其放入jwt中</em
浏览 4提问于2016-12-09得票数 0
2回答
我在一个使用Angular的网站上使用基于会话的CSRF。发出HTTP调用以请求CSRF令牌是否安全?例如,如果我向一个名为/ CSRF /get的页面发送了一个具有有效用户会话的请求,并且它打印了一个原始令牌,那么这对于CSRF功能是否足够安全?它将是第一个api调用,在其他调用之前,我将把它保存在本地存储上,以便在每次http调用时使用它。
浏览 4提问于2018-09-11得票数 8
我有一个服务的概念证明。 "path": "/v1/mything/1"邮递员设置:(不是火箭科学)http://localhost:8080/v1/mythings/1
因此,我添加了".csrfHttpSecurity httpSecurity) throws Except
浏览 1提问于2020-05-20得票数 1
回答已采纳
1回答
我有几个问题:
1)将REST用于外部API使用和用作主干网(或普通js)前端的服务器端是一种良好的实践吗?我认为编写一个REST服务器并将其用作后端要容易得多。2)如果我用oauth 2标准编写我的webapp身份验证,这是将我的秘密令牌存储在cookie中的一个好方法吗?我认为这会导致CSRF漏洞。正如我所看到的,passp
浏览 2提问于2013-03-18得票数 7
处理HTTP数据包中的JWT令牌的标准和最安全的方法是什么?
JWT不应该被设置为cookie,这是正确的吗?cookie使得会话劫持变得微不足道,因为浏览器会自动包含它,因此不会在普通会话id cookie上为JWT令牌提供任何附加值。那么,JWT令牌应该作为头部还是作为JSON属性包含在内,或者这是一个实践问题?
浏览 2提问于2016-07-19得票数 0
我想通过他们的api来获取我的现代战争数据。当我在浏览器中使用以下URL时,我会得到一个json文件。
浏览 0提问于2020-04-18得票数 2
/djangorestframework-simplejwt)我的流量:将该令牌与任何不安全的请求附加为cookie,以及一个标头,例如,其值在cookie中提到。登录端点在响应中返回一个JWT访问令牌,并以httpOnly cook
浏览 0提问于2023-03-03得票数 1
1回答
我无法轻松地决定如何从后端接收刷新令牌和访问令牌,以及将其存储在何处。XSS可以使用cookie进行保护。使用cookie的容易受到CSRF的攻击。因此,登录时,“client.request刷新令牌”和“访问令牌”将在后端创建,存储在DB中,并使用访问令牌将api</em
浏览 4提问于2021-05-20得票数 0
回答已采纳
3回答
这将是一个SPA,使用API访问后端.我使用JWT来保存每次命中API时的DB调用。JWT存储在access_token cookie中。它们首先进行签名,然后使用何塞-杰沃特加密。(简写):JWT包括用户IDJWT exp索赔在未来设置为30分钟CSRF保护
JWT包括一个<
浏览 0提问于2016-08-12得票数 14
云服务器
ICP备案
对象存储
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号