-
1 votesanswersviews
Spring Security使用新会话令牌在登录响应中设置CSRF
我在 Spring 季启动应用程序中使用spring security . 我有一个前端单页应用程序,通过休息登录 . 我没有登录的问题,但是一旦我登录,我的会话令牌就会改变,但是CSRF令牌没有 . 有没有办法强制spring security设置csrf令牌,因为与未经身份验证的会话令牌关联的旧令牌将无法使用新的经过身份验证的会话令牌? 我将CSRF令牌存储在cookie中,并在每个状态更改请... -
10 votesanswersviews
通过在会话变量和表单中存储nonce来保护CSRF
要防止CSRF,您应该将nonce放在表单中的隐藏字段中,以及cookie或会话变量中 . 但是如果用户在不同的标签页中打开多个页面会怎么样在这种情况下,每个选项卡都有一个具有唯一nonce的表单,但会话变量或cookie中只存储一个nonce . 或者,如果您尝试将所有nonce存储在cookie / session变量中,您将如何识别哪个属于哪个表单? -
1 votesanswersviews
PHP中的CSRF保护
我有一些PHP POST脚本,我需要保护它免受CSRF攻击,并有多个问题: 1)如果我使用没有HTML表单的jquery向PHP提交POST请求,只需直接从HTML元素获取值并使用jquery提交它们,我是否还有CSRF的风险? 2)当用户登录网站时,我将其唯一标记存储在会话变量中 . 在PHP POST脚本中,我检查该会话变量是否已设置并且具有我之前设置的相同值 . 还不够吗?为什么令牌也需要包... -
1 votesanswersviews
存储“记住我”cookie和CSRF保护
我一直在读“记住我” Cookies 存储在“httpOnly”cookie中,因此JavaScript / XSS无法访问它们 . 但是,“httpOnly”cookie容易受到CSRF攻击,因为它们会自动与请求一起发送 . 为了缓解CSRF攻击,建议使用同步令牌模式(让服务器生成csrf令牌并与客户端进行交叉检查) . 我的问题是,如果可以使用“记住我”cookie,CSRF攻击(恶意Java... -
0 votesanswersviews
会话ID应该在cookie中加密吗?
在单页应用中: 我想使用httpOnly / Secure cookie来验证Bearer令牌是否未从本地存储中被盗 . 换句话说,必须在被认为有效之前呈现并交叉检查cookie和承载令牌 . 例如: 用户使用用户名/密码成功登录 . 创建Jwt承载令牌并包括12345的会话ID . 此外,cookie被格式化为jwt并签名,并包含会话ID为12345的声明 . 现在,当使用令牌和cookie进行... -
6 votesanswersviews
是否可以将(加密强)会话cookie用作CSRF令牌?
阅读OWASP CSRF prevention cheat sheet,防止这种攻击的方法之一是同步器令牌模式 . 如果会话令牌在加密方面很强,那么它是否可以像下面的伪代码中所描述的那样加倍作为csrf令牌? 客户: <script> dom.replace(placeholder, getCookie("session-cookie")) </script&... -
2 votesanswersviews
新标签页和浏览器窗口中的CSRF标记
我已经通过以下方式在我的nodejs服务器上实现了CSRF攻击防范 - 登录用户收到CSRF令牌和cookie(存储在cookie中的基于JWT的令牌) . CSRF令牌是使用 $.ajaxSetup 从客户端发送的所有未来请求标头的一部分 . 每当用户发出请求(GET或POST)时,我将客户端发送的cookie和csrf令牌(在 Headers 中)与我服务器上存储的令牌进行比较,并且应用程序... -
8 votesanswersviews
加密cookie中的会话ID(或其他身份验证值)是否有用?
在Web开发中,当启用会话状态时,会话ID存储在cookie中(在cookieless模式下,将使用查询字符串) . 在asp.net中,会话ID自动加密 . 互联网上有很多关于如何加密cookie的主题,包括会话ID . 我可以理解为什么要加密私人信息(如DOB),但任何私人信息都不应该存储在cookie中 . 因此,对于其他cookie值,例如会话ID,目的加密是什么?它会增加安全性吗?无论你... -
17 votesanswersviews
CSRF令牌与多个选项卡冲突
我在我的应用程序中构建了 CSRF 保护,只需在 every 页面加载时生成随机令牌,将其置于会话中,然后将令牌绑定到 <body> 标记属性,如: <body data-csrf-token="csrf_GeJf53caJD6Q5WzwAzfy"> 然后在每个表单操作或ajax请求中,我只需从body标签中获取令牌并将其发送出去 . 除了一个巨大的问... -
15 votesanswersviews
暴露会话的CSRF保护令牌是否安全?
Django附带CSRF protection middleware,它生成一个唯一的每会话令牌,用于表单 . 它会扫描所有传入的 POST 请求以获取正确的令牌,并在令牌丢失或无效时拒绝该请求 . 我有CSRF令牌可供选择 . 这些页面没有 <form> 元素可以挂钩,我宁愿不把标记作为隐藏值插入标记 . 我认为这样做的一个好方法是公开像 /get-csrf-token/ 这样的ve... -
11 votesanswersviews
Rails默认的CSRF保护是不安全的吗?
默认情况下,Rails中的表单后期CSRF保护会为用户创建一个仅在用户会话更改时更改的真实性令牌 . 我们的一位客户对我们的网站进行了安全审核,并将其标记为问题 . 审计员的声明是,如果我们还有一个XSS漏洞,攻击者可以抓取另一个用户的真实性令牌,并利用它进行CSRF攻击,直到用户会话到期为止 . 但在我看来,如果我们有一个类似的XSS漏洞,攻击者可以轻松地抓取另一个用户的会话cookie并直接登... -
1 votesanswersviews
rails csrf令牌生存期
我使用Rails request_forgery_protection 机制来保护我的POST操作免受CSRF攻击和验证码以保护GET操作 . 这样,如果有人在一个会话中进行两阶段攻击,使用当前令牌获取表单,然后使用该令牌发布伪造请求,他最终将面临验证码检查 . 我坚持认为,因为Rails直到会话结束才重新生成CSRF令牌 . 这对我来说似乎不对,我认为在下一次行动之前应该更新令牌 . 我想知道... -
2 votesanswersviews
如何防止静态站点上的CSRF?
我有一个静态网站,由CDN提供,通过AJAX与API通信 . 我如何防范CSRF? 由于我无法控制静态网站的服务方式,因此当有人加载我的静态网站(并将令牌插入表单或使用我的AJAX请求发送)时,我无法生成CSRF令牌 . 我可以创建一个 GET endpoints 来检索令牌,但似乎攻击者可以简单地访问该 endpoints 并使用它提供的令牌? 有没有一种有效的方法来防止这个堆栈的CSRF? ... -
38 votesanswersviews
在基于浏览器的应用程序中保存JWT的位置以及如何使用它
我'm trying to implement JWT in my authentication system and I have a few questions. To store the token, I could use cookies but it'也可以使用 localStorage 或 sessionStorage . 哪个是最好的选择? 我已经读过JWT保护网站免受CSRF的侵... -
0 votesanswersviews
Spring Security - CSRF - 如何重置CSRF令牌并记录潜在的CSRF攻击(OWASP推荐)
我们在我们的应用程序中使用Spring Security框架,尤其是防止它反对CSRF攻击 . 在OWASP document about CSRF attacks prevention cheat sheet中,他们讨论了同步器令牌模式 . 因此,当提供错误的CSRF令牌时,他们建议: 中止请求 重置CSRF令牌 将事件记录为正在进行的潜在CSRF攻击 我做了一个测试,提供了一个... -
61 votesanswersviews
JSON Web服务是否容易受到CSRF攻击?
我正在构建一个专门为其请求和响应内容使用JSON的Web服务(即,没有表单编码的有效负载) . Is a web service vulnerable to CSRF attack if the following are true? 没有顶级JSON对象的任何 POST 请求(例如 {"foo":"bar"} )将被拒绝400.例如,具有内容 42 的... -
2 votesanswersviews
通过标头令牌进行身份验证的JSON API是否容易受到CSRF的攻击?
我试图找到有关API的CSRF漏洞的更多信息,我发现的关闭是这里的问题: Are JSON web services vulnerable to CSRF attacks? 问题在于,即使在那里,他们也在使用基于浏览器的cookie控制会话 . 如果您使用标头中设置的身份验证令牌,那么这是否会使所有CSRF问题无效? 浏览器无法提供身份验证令牌/会话数据,因为浏览器永远不会被提供! Javascr... -
0 votesanswersviews
Keycloak帐户服务中的CSRF漏洞
虽然Keycloak帐户服务中使用了CSRF令牌,但有 CSRF token fixation vulnerability . 为防止CSRF,使用名为KEYCLOAK_STATE_CHECKER的cookie(CSRF防御方法:“Double submit cookie”) . CSRF令牌对于每个会话都必须是唯一的 . 但是,由于此cookie在登录时接受用户代理提供的值,并且在注销时不清... -
4 votesanswersviews
安全和无状态的JWT实施
背景 我正在尝试使用JSON Web令牌在我的Web应用程序中实现令牌身份验证 . 无论我最终使用什么策略,我都会尝试维护两件事:无状态和安全性 . 但是,通过阅读本网站上的答案和互联网上的博客文章,似乎有些人确信这两个属性是互斥的 . 在试图维持无国籍状态时,有一些实际的细微差别 . 我可以想到以下列表: 在到期日之前,基于每个用户使受损令牌无效 . 允许用户立即在所有计算机上注销所有&... -
1 votesanswersviews
如何确定上传的文件不是ASP.net中的病毒?
我看到了这个问题: ASP.NET File Upload: how can I make sure that an uploaded file is really a JPEG? 关于确保通过asp上传文件的类似问题:ASP.net中的FileUpload控件确实是图像 . 但如果用户上传受病毒感染的图像呢?如何保证通过我的ASP.net应用程序上传的图像文件不会影响我的网络应用程序文件夹中的文... -
0 votesanswersviews
同步器令牌模式:它如何阻止XSS和CSRF的组合?
我一直在研究OWASP建议,以防止CSRF攻击(https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet) . 现在,我不明白这是如何防止XSS和CSRF攻击相结合的攻击 . 假设我们有以下攻击情形: 攻击者能够执行存储的XSS攻击,以便每次用户访问该页面时都会执行攻击者在... -
0 votesanswersviews
跨站点请求伪造(XSRF)保护AngularJS
我们的AngularJS应用程序位于 site.com ,我们的api托管在 api.site.com ,后端由ASP.NET Web API编写,显然应该在 site.com 和 api.site.com 之间启用CORS,here中的文档说: XSRF是一种攻击技术,攻击者可以通过该技术欺骗经过身份验证的用户在网站上无意中执行操作 . AngularJS提供了一种对抗XSRF的机制 . 执... -
0 votesanswersviews
laravel中CSRF令牌不匹配的可能原因
在我的Web应用程序alpha测试中,有两个恶魔抱怨csrf令牌不匹配问题, 有没有办法检查csrf令牌是否正常工作而不进入laravel的测试功能? 我在用 Route::post('signup', array('before' => 'guest|csrf','uses' => 'AuthController@postSignup')); 这在途中 和 <input typ... -
15 votesanswersviews
Cookie会保护令牌免受XSS攻击吗? [关闭]
我正在为基于浏览器的Javascript Web应用程序构建一个基于JWT(JSON Web Token)的身份验证机制,与无状态服务器(没有用户会话!)一起工作,我想知道,如果使用存储,一劳永逸我在cookie中的JWT令牌将保护我的令牌免受XSS攻击,或者如果没有保护,那么在我的Javascript应用程序中使用浏览器本地存储没有任何真正的优势 . 我已经在SO和许多博客中看到了这个问题并得到... -
40 votesanswersviews
检查引荐来源是否足以防止CSRF攻击?
检查引荐来源是否足以防止跨站点请求伪造攻击?我知道引用者可能是欺骗者,但攻击者是否有办法为客户端做这件事?我知道令牌是常态,但这会有用吗? -
7 votesanswersviews
对于仅使用JSON的后端REST应用程序,CSRF是强制性的吗?
许多资源声称(source1)(source2) 对于RESTful Web服务公开的资源,确保任何PUT,POST和DELETE请求免受跨站点请求伪造的影响非常重要 . 所有应用程序都必须使用CSRF,而对Web安全性的关注度最低 但是the Spring Security docs说: 对普通用户可以由浏览器处理的任何请求使用CSRF保护 . 如果您只创建非浏览器客户端使用的服务,则可能... -
0 votesanswersviews
CSRF令牌未从Angular发送到Spring
我们正在使用Angular和Spring Boot构建Web应用程序 . 作为我们的安全措施之一,我们使用CSRF令牌 . 问题是,在我们的本地计算机上,令牌验证有效,但在我们的登台服务器上,前端不会发送令牌 . 这个问题突然发生了;我们在使用令牌的前几个月没有遇到这个问题 . 经过一定的构建,他们开始失败 . 过了一会儿,他们再次工作,但现在又停止了工作 . 因此,似乎存在我们未能看到的环境问题... -
3 votesanswersviews
如果头部而不是POST正文中的验证令牌,CSRF安全风险
最广泛发现的搜索CSRF预防技术的解决方案是MVCAntiForgeryToken(随MVC 3一起实现),其中服务器的客户端必须在POST主体中发布验证令牌 . 在服务器端,它将根据Cookie中存在的令牌进行验证 . 在自定义标头中发送验证令牌是否同样安全,在服务器端验证自定义令牌的值是否存在于cookie中? -
1 votesanswersviews
csurf:如何将csrf令牌传递给客户端而不将其插入模板视图?
我没有使用像把手或视图这样的模板语言(我捆绑了客户端代码),因此我很难弄清楚如何在不将其传递到视图的情况下发送csrf令牌 . 几乎所有的例子都像这样注入令牌服务器端: app.get('/form', csrfProtection, function(req, res) { // pass the csrfToken to the view res.render('send', { cs... -
2 votesanswersviews
是否有必要在服务器端生成反XSRF / CSRF令牌?
几乎所有关于反CSRF机制的文档都声明应该在服务器端生成CSRF令牌 . 但是,我想知道是否有必要 . 我想在这些步骤中实现反CSRF: 没有服务器端生成的CSRF令牌; 在浏览器方面,在每个AJAX或表单提交上,我们的JavaScript生成一个随机字符串作为标记 . 在实际的AJAX或表单提交发生之前,此令牌将写入cookie csrf ;并将令牌添加到参数 _csrf . 在...