Я только что установил простую CSRF-защиту в своем приложении. Он создает уникальную крошку, которая проверяется против значения сеанса при отправке формы. К сожалению, теперь это означает, что я не могу одновременно открывать несколько экземпляров (вкладки в браузере) моего приложения, когда крохи CSRF сталкиваются друг с другом. Должен ли я создать индивидуальный токен для каждой фактической […]
Я много искал, пытаясь найти что-то для своей цели, однако большинство решений вращаются вокруг токенов CSRF, которые работают вместе с данными сеанса. Для моей цели требуется токен, основанный на времени, для межсерверной связи. У меня есть Server A который должен получать и проверять токен, который отправляется ему через POST с Server B Маркер должен быть […]
Я узнаю, как предотвратить использование CSRF с помощью токенов анти-CSRF. По существу, идея заключается в следующем: – 1) сгенерируйте токен, например Md5 или Sha1, затем сохраните это значение в переменной сеанса: $token = md5(uniqid(rand(), TRUE)); $_SESSION['token'] = $token; 2) Все формы включают это значение маркера в скрытом поле POST <input type='hidden' name='token' value='$nonce_token' /> Например, […]
У меня есть функция ajax которая запускает удаление записи из моей базы данных. Мне нужно сделать проверку CSRF для того же самого. Как я могу это сделать? Я отправляю CSRF cookie вместе с моим почтовым запросом, но Yii 2.0 не проверяет его, и любой вход, который передается через ajax, достигает сервера. Как сделать проверку CSRF […]
Какие именно риски я подвергаю себе, если я не использую токены csrf в своих формах? Я не ищу простые ярлыки или названия рисков, потому что они могут ввести в заблуждение. Мне нужно понять, что именно может сделать атакующий, и только при каких обстоятельствах они могут это сделать, на простом английском языке.
Если я хочу защитить свой сайт и пользователей от атак Cross Site Forgery (CSRF), я могу сгенерировать уникальный токен $token = md5( time() * rand ); на каждой странице, которая имеет форму. Токен отправляется в скрытое поле ввода echo '<input type="hidden" name="token" value="'.$token.'">'; и в то же время хранится в переменной сеанса $_SESSION['token'] = $token; […]
Я использую FOSUserBundle на своем веб-сайте Symfony2. Теперь я работаю над API, чтобы разрешить регистрацию по запросу REST api. Я переопределил регистрационный контроллер FOSUserBundle: ApiRegistrationController.php: /** * @Route("/user/", defaults = { "_format" = "json" }, requirements = { "_method" = "POST" }) * */ public function registerAction(Request $request) { […] $form = $formFactory->createForm(new ApiRegistrationFormType(), $user); […]
Я делаю загрузку файлов через AJAX на Laravel 5. У меня почти все работает, кроме одного. Когда я пытаюсь загрузить файл, который слишком велик (больше, чем upload_max_filesize и post_max_size я получаю брошенное TokenMismatchException. Этого следует ожидать, потому что я знаю, что мой ввод будет пустым, если эти лимиты будут превышены. Пустой вход, означает, что нет […]
Во-первых, я полный noobie с Symfony 2. Вопрос звучит просто, если я попытаюсь внести некоторый контекст в то, почему и как мне это нужно, он начнет запутываться. По сути, я создал форму, которую я вручную обрабатываю, проверяю и вставляю с помощью Doctrine и т. Д. Я вручную создаю форму внутри действия контроллера (она динамически создается […]
В попытке сделать текущее приложение я развиваю более безопасным, я читал о токенах CSRF, а также Nonce. Думаю, я понял идею жетонов CSRF, но у меня проблемы с поиском «хороших и упрощенных», ресурсов и примеров Nonces. Мой вопрос – это жетоны CSRF и Nonce то же самое? из того, что я мог бы собрать до […]