Domande con tag 'csrf'

domande con tag
0
risposte

Il token CSRF è gestito tramite le intestazioni HTTP sicure?

Sto creando una protezione CSRF sulla mia applicazione e mi sto chiedendo quale sia il modo migliore (o almeno meno sicuro) per trasmettere il mio token CSRF. L'applicazione applica HTTPS, con TLS1.2. Quando genero il token sul lato server, d...
posta 07.10.2017 - 23:35
1
risposta

Come prevenire (senza cook) l'attacco csrf?

Questo è uno scenario del mondo reale. Sto cercando di fornire tutti i dettagli necessari. Riepilogo Un utente cambia il proprio IP ad ogni richiesta utilizzando un browser senza cookie. Come posso proteggere le loro richieste di accesso...
posta 12.09.2017 - 01:56
0
risposte

È buona norma combinare i cookie e lo storage locale per la protezione da XSS e CSRF?

Sappiamo che cookies con httpOnly e secure flag sono immuni a XSS e vulnerabili a CSRF attacchi. E allo stesso tempo sappiamo che local storage è vulnerabile a XSS , ma può proteggere da CSRF . Quindi, co...
posta 01.09.2017 - 05:36
3
risposte

CSRF non funziona su proxy CORS

Sto consumando servizi OData da JQuery e sto girando in uno scenario tipico di Same Origin Policy. Non ho il controllo sul server e quindi non posso implementare CORS, quindi l'unica cosa che posso fare è usare un proxy per bypassare la stessa p...
posta 19.05.2017 - 21:19
1
risposta

L'uso dei token CSRF come meccanismo di difesa blocca tutte le richieste di origine incrociata?

Sto cercando di capire come si possano prevenire gli attacchi CSRF. Da ciò che ho letto e compreso online, mi sembra che i token CSRF o l'uso dire l'intestazione Origin per la prevenzione CSRF blocchi fondamentalmente tutte le richieste di origi...
posta 28.05.2017 - 22:38
0
risposte

Aggiungi al carrello Token CSRF

Ho token CSRF ovunque sul mio sito di e-commerce che usano i moduli POST. Tuttavia, non voglio iniziare una sessione (con un cookie) a meno che non sia assolutamente necessario (principalmente perché sto usando la cache della vernice, e non vogl...
posta 08.06.2017 - 14:17
0
risposte

È possibile eseguire CSRF per la richiesta POST con un corpo XML

Sto testando un'applicazione che invia dati XML come corpo nella richiesta POST. L'applicazione non utilizza alcun token CSRF C'è un modo per eseguire CSRF in questo caso. XHR non funziona negli ultimi browser, poiché blocca le richieste CORS. U...
posta 10.08.2017 - 14:25
2
risposte

Richiesta di token CSRF tramite AJAX per JavaScript webapp [duplicato]

Ho un'applicazione web JavaScript che comunica con un'API su un sottodominio diverso. HTML e Javascript sono tutti ospitati in S3. Un token CSRF convenzionale viene inserito nel corpo della pagina HTML e utilizzato da form o letto da J...
posta 28.06.2017 - 14:35
0
risposte

Quando si controlla l'intestazione Origin e Referer per la protezione CSRF, anche lo schema deve corrispondere?

Avrei pensato che il nome di dominio (incluso qualsiasi sottodominio) attraverso la barra finale sarebbe stato sufficiente (come subdomain.example.com/ o subdomain.example.com:2082/ ), ma ho visto anche dei riferimenti per controllare l...
posta 01.06.2017 - 02:48
0
risposte

Oauth code code flow: genera il valore "state"

Sto lavorando su client che implementano il flusso OAuth2 "auth code". Sto cercando di trovare il modo migliore per generare (e ricontrollare) il parametro "stato" per impedire attacchi CSRF al flusso di login. Non riesco a memorizzare il valore...
posta 22.06.2017 - 10:59