タグ付けされた質問 「csrf」

私は私のウェブサイトのフォームにいくつかのセキュリティを追加しようとしています。フォームの1つはAJAXを使用しており、もう1つは単純な「お問い合わせ」フォームです。CSRFトークンを追加しようとしています。私が抱えている問題は、トークンが時々HTMLの「値」にしか表示されないことです。残りの時間、値は空です。AJAXフォームで使用しているコードは次のとおりです。 PHP： if (!isset($_SESSION)) { session_start(); $_SESSION['formStarted'] = true; } if (!isset($_SESSION['token'])) {$token = md5(uniqid(rand(), TRUE)); $_SESSION['token'] = $token; } HTML <form> //... <input type="hidden" name="token" value="<?php echo $token; ?>" /> //... </form> 助言がありますか？

96 php  security  session  csrf 

Spring Security 3.2を構成した後_csrf.tokenは、リクエストまたはセッションオブジェクトにバインドされません。 これは春のセキュリティ設定です： <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> login.jspファイル <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> <button id="ingresarButton" name="submit" type="submit" class="right" style="margin-right: 10px;">Ingresar</button> <span> <label for="usuario">Usuario …

90 spring  spring-security  csrf  csrf-protection 

JSONリクエストで渡すCSRFトークンを取得するにはどうすればよいですか？ セキュリティ上の理由から、Railsはすべてのリクエストタイプ（JSON / XMLを含む）でCSRFトークンをチェックしていることを知っています。 コントローラをskip_before_filter :verify_authenticity_token挿入することはできますが、CRSF保護が失われます（お勧めできません:-)）。 この同様の（まだ受け入れられていない）回答は、 でトークンを取得します <%= form_authenticity_token %> 問題はどのようにですか？トークンを取得するためにページのいずれかを最初に呼び出してから、Deviseで実際の認証を行う必要がありますか？または、サーバーから取得して一貫して使用できる1回限りの情報ですか（サーバー自体で手動で変更するまで）？

82 ruby-on-rails-3  ruby-on-rails-3.1  devise  csrf 

リクエストとレスポンスのコンテンツにJSONのみを使用する（つまり、フォームでエンコードされたペイロードを使用しない）Webサービスを構築しています。 次の場合、WebサービスはCSRF攻撃に対して脆弱ですか？ どれでもPOSTトップレベルのJSONオブジェクトのない要求は、例えば、{"foo":"bar"}たとえば、400で拒否されますが、POST内容の要求は42これ拒否されるだろう。 任意POST以外のコンテンツ・タイプの要求application/json例えば400で拒否されますが、POSTコンテンツタイプの要求はapplication/x-www-form-urlencoded、したがって拒否されるであろう。 すべてのGETリクエストは安全であるため、サーバー側のデータは変更されません。 クライアントはセッションCookieを介して認証されます{"username":"user@example.com", "password":"my password"}。これは、JSONデータを使用したPOSTを介して正しいユーザー名とパスワードのペアを提供した後にWebサービスがクライアントに提供します。 補助的な質問：CSRFに対して脆弱なものはPUTありDELETEますか？ほとんどの（すべて？）ブラウザがHTMLフォームでこれらのメソッドを許可していないように思われるので、私は尋ねます。 編集：アイテム＃4を追加しました。 編集：これまでのところ多くの良いコメントと回答がありますが、このWebサービスが脆弱な特定のCSRF攻撃を提供した人は誰もいません。

82 http  security  csrf