1回答
我对ktor非常陌生,我想把它作为我的Android手机上的spring-boot CSRF保护的REST服务的客户端。 我只是不明白我应该如何使用ktor 1.4.0版本来做到这一点。我读到了Pipeline,这似乎是我需要的,但我没有找到任何与CSRF相关的东西,坦率地说,那里肯定有什么东西,对吧?或者我必须自己写这个? 非常感谢你的指点,亨宁
浏览 5提问于2020-11-06得票数 3
1回答
我试图用Ktor处理承载令牌的身份验证,但是在访问令牌失效后,refreshTokens { ... }从未被触发。日志:I/System.out: 16:25:59.169 [main] INFO i
浏览 11提问于2022-02-14得票数 0
回答已采纳
1回答
在keycloak中,我创建了一个域,并能够获得一个访问令牌作为响应。这个访问令牌现在被输入到我的Ktor应用程序中。 然而,我不太确定如何以一种简单的方式保护路由。我想要一些受保护的路由,它周围有一个authenticate("keycloakOAuth"){}作用域,它处理验证访问令牌并在访问令牌过期时使用刷新令牌进行刷新。目前,我在Ktor内部有如下配置的keycloak: authenticate("
浏览 17提问于2021-09-08得票数 0
我试图通过Ktor web服务器中的Keycloak设置一个工作的Oauth2授权。预期的流程将是从web服务器发送一个请求到keycloak并登录给定的UI,然后Keycloak发送回一个可用于接收令牌的代码。就像身份验证(KeycloakOAuth){ get("/oauth")
浏览 18提问于2021-02-25得票数 5
回答已采纳
1回答
我试着用邮件请求: "username": "admin",}
和带有csrfmiddlewaretoken令牌和csrftoken的cookie,但是得到了错误Forbidden (CSRF token missing or incorrect.): /accounts/login/。
浏览 2提问于2019-01-31得票数 1
回答已采纳
我有以下一些设置:
我正在使用gem rack-cors处理CSRF问题。此外,我还解除了伪造的保护,这样就不会进行CSRF检查,并且请求只是通过访问令牌进行检查。,您可以获得令牌。: W, [2019-07-23T05:04:32.586199 #4] WARN -- : [dd02c2bc-1367-474a-81a3-f60740e7a661] Can't verify CSRF令牌?
浏览 1提问于2019-07-22得票数 0
回答已采纳
我的应用程序布局包括CSRF_meta_tags = javascript_include_tag "application"
# Prevent CSRF attacks by raising an except
浏览 1提问于2014-05-17得票数 2
对于具有CSRF保护的无状态身份验证,我使用以下模式:客户端代码从每个响应中提取CSRF令牌,并将其包含在每个请求中。新令牌存储在浏览器会话存储中。我有点担心cookie和客户端的<
浏览 5提问于2019-10-17得票数 3
使用金字塔web框架,当在会话对象上调用new_csrf_token()方法时,它是否会使之前发布的CSRF令牌无效?例如:new_token = session.new_csrf_token()
# Is old_token still valid
浏览 10提问于2017-03-04得票数 0
回答已采纳
1回答
我需要从我的Ktor服务器向另一个第三方rest发出请求,从我的应用程序中我将向我的Ktor服务器提出请求。
我怎么能这么做?
浏览 10提问于2022-05-22得票数 0
3回答
通常,我们知道添加到每个请求中的随机令牌是针对CSRF的一个很好的解决方案。但它到底有多精确呢?web服务器生成令牌,以隐藏的形式发送给客户端,而这个令牌被添加到请求和web服务器验证它(对我来说,这是合理的)。第二种方法可以是客户端生成令牌并将其发送到web服务器。但是,was服务器是如何知道令牌的,如果它不是由webserver生成的,那么它是否正确。
浏览 0提问于2017-07-18得票数 0
我指的是关于配置CSRF保护的Spring安全文档:
我不确定如何配置我的处理程序以处理无效的CSRF令牌。处理过期/无效CSRF令牌的最佳方法是什么?
我是否应该使用AccessD
浏览 1提问于2015-03-18得票数 11
我们使用spring框架的应用程序需要实现基于请求的CSRF令牌,以满足安全需求。目前我们有HttpSessionCsrfTokenRepository提供的基于会话的CSRF令牌作为Spring的默认配置。com.dev.common_web.security.configuration.CustomCsrfTokenRepository"/> 将加载实现CsrfTokenRepository接口的自定义令牌库来处理令牌请求但是,当应用程序启
浏览 36提问于2020-08-17得票数 0
1回答
我有一个新的电子商务网站,使用牵头形式收集客户信息。在我们的生产现场,有隐藏的输入字段与加密的外观名称和值属性。下面是一个示例:<input type="hidden" name="jEvdKncJwDa" value="UFQPsvy5bx60OL">
<input type="hidden" name="lcZhEMQ
浏览 3提问于2021-04-13得票数 0
回答已采纳
2回答
使用Spring Security,我的理解是您在GET上获得csrf令牌,然后将其包含在任何后续POST、PUT、DELETE请求的头中。但是登录是一个帖子!那么,如何获取csrf令牌,以便将其包含在登录请求的标头中? 我不想禁用登录路由的csrf。
浏览 40提问于2020-06-16得票数 1
回答已采纳
1回答
我正试图找出rails4存储的真实性令牌的位置。在每个请求中,rails似乎都生成了一个新的令牌。但是,当使用cookie存储时,所有这些令牌都存储在哪里?我已经查看了会话变量,但是找不到任何东西。
浏览 7提问于2015-11-10得票数 1
回答已采纳
在Django模板中,我可以使用{% csrf_token %}生成一个隐藏的输入元素,并将CSRF标记作为值。def my_view(request): return HttpResponse(csrf_input
浏览 0提问于2013-01-21得票数 1
回答已采纳
2回答
在微业务体系结构中实现CSRF保护的正确方法是什么?服务是无状态的。还是在每个微型服务上?在这种情况下,服务是否需要将CSRF令牌传递给另一个服务或某个标头API密钥?因为某些服务可以从网关访问,也可以直接从另一个服务访问。
浏览 0提问于2017-02-13得票数 10
回答已采纳
3回答
我读过几篇关于Django中的csrf保护的文章,包括,但我仍然对如何正确使用它感到困惑。表单中的{% csrf_token %}c = {}在显示和请求信息时,你需要各种形式的信息,不是吗?那么,如何在return render()中包含这个csrf保护呢?这是正确的吗?而且,当不需要使用csrf时,因为我没有任何形式。这是否是将值返回到模板的正确形式?
return re
浏览 5提问于2013-07-01得票数 4
回答已采纳
1回答
当使用spring安全性时,我们可以使用CSRF令牌。我们可以在spring安全xml和jsp中使用> name=”${_csrf.parameterName}” value=”${_csrf.token}”/>).但是如何在Java区域中获得csrf令牌名称和值呢?
我必须从我的web应用程序的服务层发送邮件
浏览 4提问于2016-08-31得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
