คำถามติดแท็ก csrf

การปลอมแปลงคำขอข้ามไซต์เป็นการโจมตีที่เป็นอันตรายเพื่อใช้ประโยชน์จากความไว้วางใจของเว็บไซต์ในเบราว์เซอร์ของผู้ใช้

3
วิธีเพิ่มโทเค็นการปลอมแปลงคำขอข้ามไซต์ (CSRF) อย่างถูกต้องโดยใช้ PHP
ฉันกำลังพยายามเพิ่มความปลอดภัยให้กับแบบฟอร์มบนเว็บไซต์ของฉัน รูปแบบหนึ่งใช้ AJAX และอีกแบบเป็นแบบฟอร์ม "ติดต่อเรา" ที่ตรงไปตรงมา ฉันกำลังพยายามเพิ่มโทเค็น CSRF ปัญหาที่ฉันพบคือโทเค็นจะแสดงใน "ค่า" HTML บางครั้งเท่านั้น เวลาที่เหลือค่าว่างเปล่า นี่คือรหัสที่ฉันใช้ในแบบฟอร์ม AJAX: PHP: if (!isset($_SESSION)) { session_start(); $_SESSION['formStarted'] = true; } if (!isset($_SESSION['token'])) {$token = md5(uniqid(rand(), TRUE)); $_SESSION['token'] = $token; } HTML <form> //... <input type="hidden" name="token" value="<?php echo $token; ?>" /> //... </form> ข้อเสนอแนะใด ๆ ?
100 php  security  session  csrf 

30
โพสต์คำขอใน Laravel - ข้อผิดพลาด - 419 ขออภัยเซสชัน / 419 เพจของคุณหมดอายุแล้ว
ฉันติดตั้ง Laravel 5.7 เพิ่มแบบฟอร์มลงในไฟล์ \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> เพิ่มลงในไฟล์แล้ว \routes\web.php Route::post('/foo', function () { echo 1; return; }); หลังจากส่งคำขอ POST: 419 ขออภัยเซสชั่นของคุณหมดอายุแล้ว โปรดรีเฟรชและลองอีกครั้ง ในเวอร์ชัน5.6ไม่มีปัญหาดังกล่าว
92 php  laravel  csrf 

11
พบโทเค็น CSRF 'null' ที่ไม่ถูกต้องในพารามิเตอร์คำขอ '_csrf' หรือส่วนหัว 'X-CSRF-TOKEN'
หลังจากกำหนดค่า Spring Security 3.2 แล้ว_csrf.tokenจะไม่ถูกผูกไว้กับคำขอหรือวัตถุเซสชัน นี่คือการกำหนดค่าความปลอดภัยสปริง: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> ไฟล์ login.jsp <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> <button id="ingresarButton" name="submit" type="submit" class="right" style="margin-right: 10px;">Ingresar</button> …
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.