Domande con tag 'csrf'

domande con tag
1
risposta

Come funziona il token XSRF per richiesta? (Soluzione angolare)

Voglio proteggere la mia applicazione contro XSRF. Sebbene non sia in grado di capire veramente quale sia il problema e come funzioni la mia soluzione, dopo alcune ricerche ho trovato una soluzione, che Angular utilizza. Per quanto ho ottenuto,...
posta 14.06.2016 - 19:03
2
risposte

CSRF nell'architettura dei microservizi

Quale dovrebbe essere il modo corretto per implementare la protezione CSRF nell'architettura dei microservizi? Dove i servizi sono senza stato. Per inserire la verifica CSRF sull'immissione del sistema? per esempio. Gateway Con questa o...
posta 13.02.2017 - 15:58
1
risposta

L'autenticazione JWT può agire come un meccanismo anti-CSRF?

Nell'applicazione Angolare a pagina singola (API Angular + REST) utilizzo l'autenticazione JWT . Supponiamo che i token JWT siano generati correttamente e veramente casuali (non puoi prevederlo). Questo token JWT è sufficientemente protetto...
posta 09.01.2018 - 11:35
1
risposta

CSRF con intestazioni Autorizzazione OAuth o Bearer

Sto progettando un'API RESTful che deve essere accessibile da un browser web. L'API è protetta dall'autenticazione di base. Comprendo il concetto di CSRF e le mitigazioni proposte (ho trovato sia voce CSRF di Wikipedia che pagina OWASP CSR...
posta 13.03.2013 - 19:00
1
risposta

Protezione CSRF - 'back pages'

OWASP suggerisce che quando si implementa la protezione CSRF qualsiasi tentativo di andare "Indietro" nel browser causerà problemi poiché l'interazione con questa pagina precedente produrrà un evento di sicurezza positivo falso CSRF sul server...
posta 15.04.2013 - 02:00
2
risposte

Le app Web basate su WebSocket (ad esempio le app "comet") devono preoccuparsi di CSRF?

Il consiglio standard per le applicazioni HTTP che vogliono prevenire il Cross Site Request Forgery deve includere un token casuale su ogni richiesta di modifica dello stato (solitamente POST) che viene verificata dal server prima di consentire...
posta 18.05.2013 - 15:35
2
risposte

CSRF: valore casuale o HMAC

Ho visto diversi inneschi di token CSRF: Il primo utilizza token CSRF generati casualmente che utilizza a generatore casuale strong crittografico per generare il token. La seconda implementazione che ho trovato utilizza HMAC che crittograf...
posta 25.02.2014 - 16:40
2
risposte

In che modo sostituire i token Bearer con HMAC funziona in OAuth 2.0 e in che modo validare il client / server?

Questa classe di Pluralsight tratta i token Bearer , e che una delle cose che mancano a OAuth 2.0 è la convalida basata su HMAC. Altrove nei blog di thinktecture, sono chiamati token PoP (Prova di possesso) La convalida basata su HMAC impedi...
posta 10.08.2016 - 05:47
1
risposta

Restituisce Access-Control-Allow-Origin: * indebolisce la sicurezza delle risposte JSON GET?

La raccomandazione CORS W3C afferma: Certain types of resources should not attempt to specify particular authorized origins, but instead either deny or allow all origins. ... 3. A GET response whose entity body happens to pa...
posta 16.10.2013 - 12:23
2
risposte

Che cosa usare come 'stato' nel flusso di lavoro del codice di autorizzazione OAuth2 Grant

Uso la protezione csrf nella mia app Web. Ora sto pianificando l'attivazione di un flusso di lavoro di concessione del codice di autorizzazione OAuth2, a partire da un modello statico aperto in una nuova finestra del browser utilizzando win...
posta 30.10.2015 - 16:40