Domande con tag 'cookies'

domande con tag
1
risposta

Django, ajax e HttpOnly cookie

Durante la lettura di "Web aggrovigliato" mi sono imbattuto nella descrizione dei cookie solo http e volevo provarlo nel mio progetto, quindi ho aggiunto queste impostazioni in base a docs : CSRF_COOKIE_HTTPONLY = True SESSION_COOKIE_HTTPONLY...
posta 20.02.2018 - 00:06
1
risposta

Fornire un token CSRF al front-end, se non presente nelle intestazioni della richiesta

Ho un'app web in cui, quando gli utenti richiedono una pagina, viene generato un token CSRF e immesso nella pagina jsp in un campo input nascosto. Lo stesso token viene quindi inviato al server per ogni chiamata AJAX in un'inte...
posta 24.01.2018 - 11:42
1
risposta

È sufficiente memorizzare un ID utente in JWT per verificare l'identità?

Ho pensato di provare JWT come alternativa all'autenticazione basata sulla vecchia sessione per motivi di prestazioni (ovvero nessuna ricerca SQL aggiuntiva per l'ID di sessione nel database solo per ottenere l'id utente per ogni richiesta HTTP)...
posta 06.05.2018 - 18:30
1
risposta

È sicuro riutilizzare il token CSRF dal cookie esistente (per una nuova scheda nel browser)?

Abbiamo un sistema che fa richiesta asincrona al back-end per ottenere CSRF (tramite AJAX). La risposta dal server è un nuovo cookie e un'intestazione che ricordiamo in javascript e utilizzeremo in seguito. Funziona tutto bene finché non apri...
posta 11.10.2017 - 14:12
1
risposta

Ignorare la protezione "double submit cookie"?

È possibile che un utente malintenzionato falsi il doppio token / cookie di invio, quando il primo token / cookie si trova nell'intestazione del cookie e il secondo token / cookie si trova nei parametri del corpo. Sì, c'è un modo di usare XSS...
posta 03.11.2017 - 05:22
1
risposta

CSRF Protection per API JSON con cookie Auth [duplicato]

Sto costruendo l'API per un plug-in SPA e Chrome utilizzando Rails, e sono propenso a utilizzare i cookie Secure HTTPOnly per l'autenticazione perché: Questa è la soluzione predefinita per le librerie di autenticazione Rails standard come...
posta 26.08.2017 - 08:45
1
risposta

In che modo l'invio di e-mail dallo stesso dominio causa la ricezione di cookie da parte di terzi

Recentemente ho letto questo link If we'd add a CNAME to a third party under the stackoverflow.com domain, they'd receive all our users cookies, which some sites are OK with, but we aren't. Sulla risposta di m0sa è stato detto ch...
posta 26.01.2017 - 06:38
1
risposta

Impossibile rubare cookie nella mia app vulnerabile XSS riflessa

Sto cercando di conoscere XSS in modo tale da rendere l'app Web vulnerabile all'XSS riflesso. Sto cercando di rubare i cookie dell'utente, quindi se scrivo quanto segue viene visualizzato il valore del cookie: http://localhost/lab1/php/login.p...
posta 23.01.2017 - 20:03
4
risposte

Che cosa ha bisogno l'hacker per rubare dal mio PC per compromettere la mia sessione di Facebook?

Voglio dire, quando spunta il pulsante "ricordati di me / questo computer", non devo effettuare nuovamente il login su questa macchina. Quindi immagino sia a causa dei cookie. Quindi, se qualcuno dovesse entrare nel mio PC, potrebbe rubare alcun...
posta 24.08.2016 - 02:21
1
risposta

Memorizza la chiave di crittografia in $ _SESSION contro $ _COOKIE?

Leggendo il tutorial qui: link (scenario # 2) Si consiglia di memorizzare la chiave di crittografia in una variabile di sessione. Mi stavo chiedendo, è più sicuro memorizzare la chiave in una variabile cookie invece? La mia ipotesi:...
posta 10.09.2016 - 22:29