Preguntas etiquetadas con csrf

Estoy escribiendo una aplicación (Django, sucede) y solo quiero tener una idea de qué es realmente un "token CSRF" y cómo protege los datos. ¿Los datos de publicación no son seguros si no usa tokens CSRF?

629 csrf 

Estoy tratando de entender todo el problema con CSRF y las formas adecuadas de prevenirlo. (Recursos que he leído, entiendo y estoy de acuerdo con: OWASP CSRF Prevention CHeat Sheet , Preguntas sobre CSRF ). Según tengo entendido, la vulnerabilidad en torno a CSRF se introduce por el supuesto de …

283 security  cookies  web  csrf  owasp 

Estoy enviando datos desde la vista al controlador con AJAX y recibí este error: ADVERTENCIA: no se puede verificar la autenticidad del token CSRF Creo que tengo que enviar este token con datos. ¿Alguien sabe cómo puedo hacer esto? Editar: mi solución Hice esto poniendo el siguiente código dentro de …

238 ruby-on-rails  jquery  csrf 

He implementado en mi aplicación la mitigación de los ataques CSRF siguiendo las informaciones que he leído en alguna publicación de blog en Internet. En particular, estas publicaciones han sido el motor de mi implementación Mejores prácticas para ASP.NET MVC del equipo de contenido de desarrolladores de herramientas web y …

207 asp.net-mvc  ajax  asp.net-mvc-2  csrf  antiforgerytoken 

Podría usar un poco de ayuda para cumplir con el mecanismo de protección CSRF de Django a través de mi publicación AJAX. He seguido las instrucciones aquí: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Copié exactamente el código de muestra AJAX que tienen en esa página exactamente: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/#ajax Puse una alerta imprimiendo el contenido de getCookie('csrftoken')antes …

180 python  ajax  django  csrf 

Tengo problemas con el AntiForgeryToken con ajax. Estoy usando ASP.NET MVC 3. Probé la solución en llamadas jQuery Ajax y Html.AntiForgeryToken () . Usando esa solución, el token ahora se pasa: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data: data, datatype: "json", …

168 asp.net  ajax  asp.net-mvc  asp.net-mvc-3  csrf 

Por lo que he aprendido hasta ahora, el propósito de los tokens es evitar que un atacante falsifique el envío de un formulario. Por ejemplo, si un sitio web tenía un formulario que ingresaba artículos agregados a su carrito de compras, y un atacante podría enviar spam a su carrito …

161 php  token  csrf 

Sé la autenticación basada en cookies. El indicador SSL y HttpOnly se puede aplicar para proteger la autenticación basada en cookies de MITM y XSS. Sin embargo, se necesitarán medidas más especiales para aplicar con el fin de protegerlo de CSRF. Son solo un poco complicados. ( referencia ) Recientemente, …

159 security  authentication  cookies  csrf  jwt 

He visto artículos y publicaciones por todas partes (incluido SO) sobre este tema, y ​​el comentario predominante es que la política del mismo origen impide que un formulario POST entre dominios. El único lugar donde he visto a alguien sugerir que la política del mismo origen no se aplica a …

145 html  security  http  csrf  same-origin-policy 

Si la protect_from_forgeryopción se menciona en application_controller, puedo iniciar sesión y realizar cualquier solicitud GET, pero en la primera solicitud POST Rails restablece la sesión, lo que me desconecta. protect_from_forgeryDesactivé la opción temporalmente, pero me gustaría usarla con Angular.js. ¿Hay alguna forma de hacer eso?

129 ruby-on-rails  angularjs  csrf  protect-from-forgery 

¿Es necesario usar Protección CSRF cuando la aplicación se basa en autenticación sin estado (usando algo como HMAC)? Ejemplo: Tenemos una sola aplicación página (de lo contrario tenemos que añadir el token en cada enlace: <a href="...?token=xyz">...</a>. El usuario se autentica usando POST /auth. En la autenticación exitosa, el servidor …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

Mi página de registro muestra el formulario correctamente con CsrfToken ( {{ csrf_field() }}) presente en el formulario). Formulario HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Estoy usando autenticación incorporada para los usuarios. No han cambiado nada excepto las rutas y redireccionamientos. Cuando …

111 php  laravel  csrf  laravel-5.5 

Sé que hay respuestas con respecto a Django Rest Framework, pero no pude encontrar una solución a mi problema. Tengo una aplicación que tiene autenticación y algunas funciones. Le agregué una nueva aplicación, que usa Django Rest Framework. Quiero usar la biblioteca solo en esta aplicación. También quiero hacer una …

111 django  django-rest-framework  csrf  django-csrf 

Tengo una aplicación de rieles que sirve algunas API para una aplicación de iPhone. Quiero poder simplemente publicar en un recurso sin importarme obtener el token CSRF correcto. Probé algunos métodos que veo aquí en stackoverflow pero parece que ya no funcionan en los rieles 3. Gracias por ayudarme.

105 ruby-on-rails-3  csrf 

Esta pregunta solo trata sobre la protección contra ataques de falsificación de solicitudes entre sitios. Se trata específicamente de: ¿Es la protección a través del encabezado de origen (CORS) tan buena como la protección a través de un token CSRF? Ejemplo: Alice inició sesión (usando una cookie) con su navegador …

103 javascript  security  cors  csrf