腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
2
回答
使用javascript生成的
cookie
防止
跨站点请求
伪造
、
、
、
我正在建立一个网站,在那里我需要接受来自用户的评论,从我的home.
php
我正在发送一个ajax请求(Post)与值作为评论文本和元素id到comment.
php
,它检查会话id并将评论保存到数据库,我最近发现(因为我对网络安全非常新手),我可以从任何网站提交一个表单到这个comment.
php
,当我的网站在其他选项卡中运行时(因为会话id将存在)。为了
防止
跨站请求
伪造
,我使用了以下技术,在发送ajax请求之前,我设置了一个
cookie
'comment‘,值为元素id,使用
浏览 2
提问于2013-06-07
得票数 0
1
回答
代码点火器从支付网关重定向后丢失的4会话数据
、
、
PHP
7.3.23使用CI 4.0.4,我将重定向到CI支付网关,付款完成后,会话数据将丢失。它将控制台中的消息显示为: “通过指定其SameSite属性来指示是否在跨站点请求中发送
cookie
。由于
cookie
的SameSite属性未设置或无效,因此默认为SameSite=Lax,这将阻止
cookie
在跨站点请求中发送。此行为
防止
用户数据意外泄漏到第三方和跨站点请求
伪造
。。
浏览 6
提问于2020-10-30
得票数 0
2
回答
SameSite
cookie
属性与同步器令牌模式
、
、
、
、
最近,大多数浏览器增加了对SameSite
cookie
属性的支持,以
防止
CSRF攻击:https://www.owasp.org/index.
php
/SameSite。如果支持,我们是否应该实现同步器令牌模式来
防止
CSRF攻击?https://www.owasp.org/index.
php
/Cross-Site_请求_
伪造
_(CSRF)_预防_作弊_Sheet#Synchronizer_令牌_模式 Same
浏览 0
提问于2019-01-13
得票数 2
回答已采纳
3
回答
为什么codeigniter2不以更安全的方式存储csrf_hash,比如session?
、
、
、
、
_
COOKIE
arrays?isset($_
COOKIE
[$this->_csrf_
cookie
_name])) $this->csrf_show_error();{} // We kill this since we're[$
浏览 0
提问于2012-01-09
得票数 4
回答已采纳
1
回答
在
cookie
中存储CSRF令牌是否足以
防止
CSRF?
、
、
、
、
为了
防止
CSRF的发生,Security和AngularJS采用了一种在
cookie
中存储CSRF令牌的方法。然后,对于每个请求,web客户端向服务器发送与
cookie
和HTTP头相同的令牌以进行验证。这些都来自于这个博客。 但是,我认为从另一方面来说,黑客可以
伪造
cookie
和HTTP头来发送假请求。
浏览 0
提问于2018-09-19
得票数 1
回答已采纳
2
回答
csrftoken和csrf_token输入类型在django中都需要吗?
、
、
当我们必须在每个表单提交中发送csrftoken-
cookie
时,在django中使用的是{% csrf_token %}。button> Django处理器总是请求{% csrf_token %}请澄清.
浏览 5
提问于2014-05-30
得票数 1
回答已采纳
3
回答
伪造
会话/
Cookie
?
我不太确定$_SESSION在
PHP
中是如何工作的。我假设它是浏览器上的
cookie
,与服务器上的唯一密钥相匹配。是否有可能
伪造
这一点,并绕过只使用会话来识别用户的登录。如果$_SESSION不是这样工作的,那么可能有人会
伪造
cookie
并绕过登录吗?
浏览 1
提问于2011-05-06
得票数 15
回答已采纳
1
回答
令牌身份验证和XSRF / XSS保护
、
、
、
我知道,为了
防止
XSRF攻击,一种流行的方法是从
cookie
中读取自定义身份验证令牌,然后在发出任何AJAX请求之前将其添加到自定义请求头。然后,服务器可以对请求标头而不是
cookie
运行验证。我相信AngularJS使用这种方法:$http 在
防止
XSS攻击时,我感到困惑。显然,最好确保没有用户输入能够注入javascript,但是假设发现了一个缺陷,因为需要读取上面提到的
cookie
才能在请求标头中设置它的值,它不容易受到XSS攻击吗?由于
cookie
不能设置为仅HTTP,所以攻击者
浏览 1
提问于2014-10-09
得票数 2
1
回答
XSRF- Laravel中的令牌
、
、
、
、
我在laravel中实现了登录,在登录请求中有两个令牌,一个在主体中,另一个在标头
cookie
中。signed-exchange;v=b3;q=0.9Accept-Language: en-GB,en-US;q=0.9,en;q=0.8
Cookie
浏览 2
提问于2020-07-09
得票数 0
1
回答
Azure Web App中跨域访问的安全aspx页面
、
、
、
、
我使用的是asp.net 3.5 web表单。我将我的应用程序托管到Azure。我有一个aspx,它有WebMethod,我从其他aspx页面通过jquery $.ajax调用来调用它。如何保护我的aspx,使其只能从我的页面访问,而不能从其他应用程序访问?
浏览 0
提问于2016-03-06
得票数 0
1
回答
如果使用SSL,是否需要对
cookie
进行签名/加密?
、
如果我正在通过SSL为我的所有web内容提供服务,我是否需要进行另一层加密并对我的
cookie
数据进行签名?
浏览 1
提问于2014-04-21
得票数 0
回答已采纳
3
回答
设置CodeIgniter中不起作用的
cookie
我想用这个函数csrf_
cookie
_name的值设置名称为$this->security->get_csrf_hash();的
cookie
,但是它不起作用。我的控制器里有这样的东西: $this->input->set_
cookie
('csrf_
cookie
_name', $csrf_
cookie
_value)
浏览 4
提问于2012-09-16
得票数 7
3
回答
用户关闭浏览器后,使用会话对用户进行身份验证是否过期?
、
我没有使用浏览器
cookie
,因为我知道它们可以被操纵,我使用的是会话
cookie
,但对我来说问题是,如果用户重新启动计算机或浏览器,他/她会自动登录和注销。
防止
这种情况的最好方法是什么,或者让"keep me signed in√“之类的东西?我看过大多数网站都有这个功能。 提前谢谢你!
浏览 0
提问于2012-07-30
得票数 0
回答已采纳
1
回答
当与session_secret一起使用时,Rack::Session::
Cookie
是否安全?
、
、
、
cookie
由base64编码的数组内容和(我相信)该内容的SHA1散列组成的策略有多安全,该散列带有只有服务器知道的长session_secret?据我所知,哈希是一种签名,以
防止
客户端篡改
cookie
内容。这个系统安全吗?具体地说,攻击者能否找出如何在不访问session_secret的情况下
伪造
签名?还有没有其他漏洞?
浏览 1
提问于2012-08-24
得票数 2
回答已采纳
6
回答
邮政和琦琦一样安全吗?
、
、
、
、
我们需要通过POST变量传递
PHP
会话ID。 POSTing会话ID与在
cookie
?中发送会话ID一样安全吗?可能的原因:因为两者都在http头中,而且客户端也同样有可能
伪造
。可能的反对理由:因为
伪造
POST变量比
Cookie
更容易。
浏览 9
提问于2009-02-26
得票数 1
回答已采纳
1
回答
SaaS域名系统记录设计
、
此问题是对先前回答的问题的扩展。通过把client1-10.mysite.com转发到europe.mysite.com => IP地址来创建关联。的另一个标准是,它应该很少求助于代理、防火墙和网络更改。本质上,我尝试的解决方案是依赖于数据的路由(基于URL、登录信息等)。 但是,它们都意味着我有一个基于令牌的身份验证系统来对用户进行身份验证,然后将用户重定向到一个新的URL。我担心这可能是一个单一的失败点,并将需要一个独立的网站从我的核心应用程序来做这样
浏览 4
提问于2010-11-08
得票数 0
1
回答
Apache跨站点
cookie
共享问题
、
、
、
我的问题是会话/曲奇当我通过打开时,myscript.
php
有我在login.
php
中设置的会话和
cookie
变量。当我从文件系统打开html文件,然后通过
php
从服务器获得脚本时,它没有我的会话或
cookie
变量。此行为
防止
用户数据意外泄漏到第三方和跨站点请求
伪造
。通过更新
cookie
的属性来解决此问题:指定SameSite=None并在跨站点请求中发送
浏览 3
提问于2022-01-07
得票数 0
回答已采纳
1
回答
User.Identity.Name有多强大?
、
station in db.stations where station.user == username select *; 这是否足以可靠地知道用户是谁,或者是否有一个讨厌的用户可以通过某种方式
伪造
名称字符串并访问他们不应该访问的数据
浏览 1
提问于2009-05-12
得票数 2
回答已采纳
3
回答
会话劫持和
PHP
、
、
、
会话固定:为了避免固定,我只在身份验证中使用session_regenerate_id() (login.
php
)我安全吗?
浏览 1
提问于2010-08-19
得票数 11
回答已采纳
2
回答
如何提高自定义身份验证
cookie
的安全性?
、
我正在设计一个用于身份验证的
cookie
。如果成功,这将进入应用程序。它包括一个仅为服务器所知的salt (额外数据),以
防止
cookie
伪造
攻击。整个
cookie
的值是通过AES加密的它
浏览 0
提问于2017-04-01
得票数 0
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
Cookie密文伪造理论
保护AI免受攻击,防止显示伪造数据
php cookie工作原理与实例详解
PHP中Session和Cookie的探究
如何防止PHP进程异常退出?
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
云直播
活动推荐
运营活动
广告
关闭
领券