Le migliori csrf

2

risposte

Come proteggere l'endpoint di convalida della posta elettronica?

Abbiamo la convalida e-mail nel nostro modulo di registrazione (una chiamata Ajax a un endpoint REST per convalidare un indirizzo e-mail quando un utente lo inserisce). Diamo un nome normale, nome, cognome, email, password, indirizzo ... Abbiamo...

posta 06.11.2017 - 19:35

2

risposte

È valido difendere un token CSRF contro la riproduzione (ad esempio con un timestamp)?

Ho un'app MVC che sta utilizzando AntiForgeryToken capacità di ASP.NET MVC. AFAICT utilizza una variazione di token del sincronizzatore crittografato in cui convalida il payload dei token. Un cliente ha messo in dubbio il fatto che questi t...

posta 11.09.2017 - 13:43

1

risposta

A parte il token di sincronizzazione, esiste un modo di protezione contro CSRF usando le intestazioni http?

Recentemente mi sono imbattuto in alcuni siti web usando HTTP Header, ovvero X-XSRF-Token e un cookie con un nome simile. È una soluzione migliore rispetto alla sicurezza basata su token casuali per CSRF?

posta 15.01.2015 - 11:34

2

risposte

È possibile utilizzare un sito vulnerabile a XSS per attaccare un sito con vulnerabilità CSRF?

Ho sentito parlare degli attacchi Cross Site Scripting ( XSS: un attacco in cui un utente malintenzionato inietta codice client malevolo (ad esempio: JavaScript) in un'applicazione Web. ) e codice errato di richiesta intersito (< em> CSRF: un at...

posta 26.09.2018 - 03:43

2

risposte

chiarimento CORS

Ho bisogno di alcuni chiarimenti sui problemi che CORS (Cross-Origin Resource Sharing) può causare. Supponiamo che il sito A.COM abbia abilitato CORS, in particolare: Access-Control-Allow-Origin può essere impostato su qualsiasi sito Web nel...

posta 31.03.2018 - 20:09

2

risposte

La tecnica "Double Submit Cookie" di CSRF ha un valore seme diverso per il cookie rispetto al POST HTTP?

Sto leggendo sul OWASP double submit cookies metodo di protezione e lì afferma che il valore del cookie tra l'intestazione e il modulo deve corrispondere. Questo sembra essere un po 'un rischio, come afferma l'articolo, dato che il valore i...

posta 09.02.2011 - 16:57

2

risposte

La protezione CSRF è inutile con AJAX?

Ho posto una domanda riguardante un'implementazione WebAPI di ASP.NET della protezione CSRF: link Anche se c'è una risposta che dice che, con le politiche CORS predefinite, quel tipo di convalida del token XSRF con le chiamate AJAX è inu...

posta 08.08.2017 - 15:15

1

risposta

cosa impedisce l'invio di "$ .post" da un dominio all'altro?

Ho un sito web nella scheda chromium e un altro sito web in un'altra scheda, Sto eseguendo un comando a post singolo nel secondo sito web - $ .post (...); al primo sito web. Originariamente non funziona (ottenendo: "No l'intestazione Access-Cont...

posta 13.07.2017 - 00:55

1

risposta

Qual è la "portata di validità" di un cookie del browser?

Considera la protezione CSRF standard di un'applicazione Ruby on Rails: un token CSRF è incorporato nella pagina HTML, mentre allo stesso tempo memorizzato crittografato come parte del cookie di sessione. Quando si effettua una richiesta, il tok...

posta 12.07.2018 - 14:34

1

risposta

CSRF su moduli anonimi

Abbiamo un sito che ha un modulo su di esso che richiede un'informazione (uno stato, selezionato da un menu a discesa - che cambia le schermate restituite). Gli utenti anonimi interagiscono con questo modulo. Quando eseguiamo la scansione di...

posta 11.07.2016 - 18:23

Domande con tag 'csrf'