Мне не нравится, как CI ведет себя по умолчанию, когда токен CSRF истек. Например, когда пользователь долгое время отображает форму входа в систему и, наконец, отправляет ее, появляется эта уродливая пустая страница с сообщением об ошибке. Я попросил способы обойти это, и кто-то сказал мне продлить класс безопасности и переопределить его метод csrf_show_error () , […]
Я прочитал много статей о защите CSRF ( это хороший ) и различные вопросы здесь, на SO, но ни один из них, похоже, недостаточно информативен для ответа на мой вопрос. Я разрабатываю свою собственную CMS, и я хочу защитить свои формы входа и комментариев. Я позволю анонимным пользователям прокомментировать мой сайт. Все формы на моем […]
Я хочу, чтобы вход с PHP-скрипта на другой веб-сайт, но я всегда получаю этот ответ: 403 Error: CSRF token mismatch Я извлекаю токен CSRF из скрытого поля на веб-сайте, но, похоже, он ошибается. Это мой код: $username = "testuser"; $password = "testpass"; $path = "c:\\test\\"; $url="http://itw.me/login"; $field='_csrf'; $html=file_get_contents( $url ); libxml_use_internal_errors( true ); $dom=new DOMDocument; […]
Я хочу использовать токен, чтобы предотвратить атаки CSRF на моем сайте (написанные с помощью PHP). Я использовал его в формах, и он работает хорошо. Но выход из системы не является формой; Это только гиперссылка. Является ли это безопасным, если я помещаю токен в строку запроса следующим образом: <a href="logout.php?token=9ae328eea8a72172a2426131a6a41adb">Logout</a> Если у вас есть какие-либо проблемы, […]
Я получаю случайные значения TokenMismatchExceptions в Laravel 5. Используя следующий код в функции tokensMatch() я пытался отладить эту странную проблему: Log::debug($request->session()->token(). ', ' . $token); Вывод выглядит следующим образом: [2015-03-21 17:04:22] local.DEBUG: XJhAXXQumM0JLX9tFcQn1tQZMI1FtglDFuhi8abT, XJhAXXQumM0JLX9tFcQn1tQZMI1FtglDFuhi8abT [2015-03-21 17:04:34] local.DEBUG: XJhAXXQumM0JLX9tFcQn1tQZMI1FtglDFuhi8abT, XJhAXXQumM0JLX9tFcQn1tQZMI1FtglDFuhi8abT [2015-03-21 17:04:36] local.DEBUG: snE0IERJ1VY0o4qmSMuHb4wH9lhQUf5ZtVObOFnR, XJhAXXQumM0JLX9tFcQn1tQZMI1FtglDFuhi8abT [2015-03-21 17:04:36] local.ERROR: exception 'Illuminate\Session\TokenMismatchException' in vendor\laravel\framework\src\Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php:47 Stack trace: […] [2015-03-21 […]
Я хочу включить защиту csrf только в нескольких моих контроллерах, поэтому у меня есть function __construct() { parent::__construct(); $this->load->library('form_validation'); $this->load->library('tank_auth'); $this->load->helper(array('form', 'url')); $this->load->model('user_model', '', true); $this->config->set_item('csrf_protection', TRUE); } Но, похоже, это не сработает, хотя, когда я делаю var_dump ($ this-> config) на странице, он показывает, что csrf_protection имеет значение TRUE, но файлы cookie не установлены, […]
Почему сгенерированный токен защиты CSRF не сохраняется и используется через SESSION, как предлагается здесь ? В настоящее время в CI2 механизм защиты CSRF (в классе безопасности) таков: 1.генерировать уникальное значение для токена CSRF в функции _csrf_set_hash (): $this->csrf_hash = md5(uniqid(rand(), TRUE)); 2. Вставьте этот токен в скрытое поле формы (с помощью form_open helper) 3. Пользователь […]
У меня есть форма, использующая скобки для кодировки echo form_open('signup'); echo form_close(); и когда я отправлю его, я получаю следующую ошибку An Error Was Encountered The action you have requested is not allowed. НЕ always но часто … даже если скрытое входное поле существует внутри формы: <div style="display:none"> <input type="hidden" value="token name is here" name="csrf_token_name"> […]
Ниже приведен пример, взятый на странице аутентификации Facebook. Какова идея добавления данных в сеанс, а затем перенаправление на URL-адрес с помощью javascript? Также почему хеш md5 uniqid? <?php $app_id = "YOUR_APP_ID"; $app_secret = "YOUR_APP_SECRET"; $my_url = "YOUR_URL"; session_start(); $code = $_REQUEST["code"]; if(empty($code)) { $_SESSION['state'] = md5(uniqid(rand(), TRUE)); //CSRF protection $dialog_url = "http://www.facebook.com/dialog/oauth?client_id=" . $app_id . […]
Я наклоняю laravel framework, я установил версию 5.0. я использую его для службы json api, которая даст JSON-выход после вызова определенного маршрута. он работает очень хорошо, если я requrest URL из браузера. но когда я пытаюсь получить доступ из моего приложения для Android, он дает ошибку, что файл не найден исключение (java.io.filenotfoundexception). после проверки журнала […]