Articles of csrf

Как предотвратить автоматические атаки AJAX

Как предотвратить использование ПОЛЬЗОВАТЕЛЕМ автоматических сообщений / спама? Вот мой способ сделать это, новый php-сеанс для каждого запроса страницы, который имеет свои собственные ограничения, без многозадачности. Я использовал новую сессию для каждой страницы в качестве защиты от CSRF и автоматических атак. Допустим, у нас есть форум, который использует AJAX для публикации тем и его проверки […]

Symfony2: токен CSRF недопустим. Попробуйте повторно отправить форму

У меня есть форма, в которой я должен заполнить некоторую информацию в поле. Даже если я что-то вложил внутрь, я получаю сообщение об ошибке: The CSRF token is invalid. Please try to resubmit the form В связи с этим вопросом: symfony2 CSRF недействителен Я правильно использую $ form-> bindRequest () if ($this->getRequest()->getMethod() == 'POST') { […]

Laravel 5 TokenMismatchException на PHP 5.6.9

Почтовые запросы работают нормально. Приложение Laravel 5 на PHP 5.4. Почтовые запросы в том же приложении, работающем на PHP 5.6.9, генерируют: TokenMismatchException VerifyCsrfToken.php в строке 46 Это происходит при каждом запросе на почту как на WAMP, так и на IIS. Случается с использованием сеансов базы данных и сеансов файлов. Полностью переустановил, а также попробовал все […]

Нужны ли в регистрационных формах токены против атак CSRF?

Из того, что я узнал до сих пор, цель жетонов состоит в том, чтобы предотвратить нападение злоумышленника на подачу формы. Например, если на веб-сайте была форма, в которую вводились добавленные элементы в корзину, а злоумышленник мог бы спамить вашу корзину покупок, которые вам не нужны. Это имеет смысл, потому что может быть несколько допустимых входных […]

«Срок действия страницы истек из-за бездействия» – Laravel 5.5

Моя страница регистрации правильно показывает форму с помощью CsrfToken ( {{ csrf_field() }} ), присутствующей в форме). Форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} …. </form> Я использую встроенную аутентификацию для пользователей. Ничего не изменил, кроме маршрутов и перенаправлений. Когда я отправляю форму (сразу после перезагрузки), она дает, что […]

Является ли сервер заголовка X-Requested-With достаточным для защиты от CSRF для приложения, управляемого ajax?

Я работаю над полностью управляемым ajax приложением, где все запросы проходят через то, что в основном составляет основной контроллер, который на его голой кости выглядит примерно так: if(strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') { fetch($page); } Достаточно ли этого для защиты от подделок подпроса? Довольно неудобно иметь вращающийся токен, когда вся страница не обновляется с каждым запросом. Я […]

Атака PHP CSRF

Я хочу знать, достаточно ли этот код для предотвращения атаки CSRF на PHP-форму? <?php session_start(); session_regenerate_id(true); if (isset($_POST['submit'])) { if (isset($_SESSION['token']) && ($_POST['token'] == $_SESSION['token'])) { } } $token = hash('sha256', uniqid(mt_rand(), true)); $_SESSION['token'] = $token; ?> //FORM <form method="POST" action="page.php"> <input type="hidden" name="token" value="<?php echo $token; ?>"> <input type="submit" name="submit"> </form> Благодарю.

Как обеспечить дополнительную безопасность для проверки источника запроса

Я разрабатываю одно веб-приложение PHP, я хочу обеспечить большую безопасность приложения, чтобы никто не мог легко сломать функциональность. Краткое объяснение моей проблемы: в одном модуле есть один этап, когда я проверяю источник запроса (откуда приходит этот запрос) В настоящее время я использую переменную HTTP_REFERRER (доступную в php). Я проверяю это значение переменной на один конкретный […]

TokenMismatchException в строке VerifyCsrfToken.php 53 в Laravel 5.1

Когда я пытаюсь войти, я вижу токенную ошибку. Я проверил маркер в форме вида, это правильно, и когда comment \App\Http\Middleware\VerifyCsrfToken::class , в Kernel.php он заставляет меня войти, но после перенаправления на мою панель инструментов я не вошел. Я использую MAMP на mac. <div> <h1>Login</h1> <div> {!! Form::open(['url'=>'user/login','class' => '']) !!} <input type="hidden" name="_token" value="{{ csrf_token() […]

Laravel 4: Предотвращение отправки нескольких форм – токен CSRF

Сценарий проблемы: Я создаю блог с Laravel 4. Форма, которая отвечает за создание новых сообщений в блоге, обеспечивается сборкой в ​​CSRF-защите ( Laravel Docs: CSRF Protection ). Пока все работает нормально, но кажется, что laravel не обновляет токен csrf при каждом запросе. Возникающая проблема заключается в том, что если пользователь обращается к кнопке «Назад» браузера, […]

Intereting Posts
Как проверить типы файлов загруженных файлов на PHP? WordPress: показывать только будущие сообщения минус один день MAMP: php.ini – mbstring.http_input – Отключение для Drupal PHP водяные знаки – Zubrag simplexml, возвращая несколько элементов с тем же тегом Получение ошибок при попытке переиндексации с использованием ssh в Magento Как сделать запрос «LIKE» в MONGODB с помощью PHP? Как сделать время окончания токена Есть ли максимум для вывода PDO :: debugDumpParams? Как получить ссылку на изображение в википедии из инфобокса? Любой способ получить все строки таблицы, где внешний ключ совпадает с первичным ключом, используя только модели, а не напрямую обращаться к базе данных? Java-клиент и сервер PHP с сокетами Попытка получить свойство не объекта Функция getScript работает, но не получает часть css Невозможно ограничить действия пользователя после успешного входа в codeigniter