Domande con tag 'csrf'

domande con tag
1
risposta

localStorage rispetto ai cookie solo HTTP + XSRF: è meglio quando si tratta di XSS?

Se dovessi implementare un modello di connessione OpenID comune su una SPA, potrei avere la seguente relazione: Auth server <-----------> Client (browser) <-----------> App API server L'utente verrebbe reindirizzato al server di...
posta 30.11.2017 - 19:40
4
risposte

Come il token casuale protegge contro CSRF

In genere sappiamo che un token casuale aggiunto a ciascuna richiesta è una buona soluzione contro CSRF. Ma come funziona esattamente? Il server Web genera token, lo invia al client in forma nascosta, che questo token viene aggiunto alla richies...
posta 18.07.2017 - 23:24
1
risposta

Quando e Come generare Nonce per l'URL

Ho un URL con un parametro $ _GET che consente di cancellare un record nel mio database, ad es. localhost / app / delete.php? id = 4843. La pagina delete.php controlla solo se l'utente è connesso e possiede il record db. Ovviamente, questo cr...
posta 31.10.2017 - 17:18
1
risposta

Il token anti-contraffazione ha senso se le richieste di origine incrociata non sono supportate?

Se il mio sito risponde solo a richieste provenienti dal proprio dominio, ha senso implementare token CSRF sulle mie richieste? Credo che sia il Cross-Site in CSRF a indurmi a porre questa domanda. Se le richieste cross-site vengono sempli...
posta 01.08.2017 - 11:00
1
risposta

Il modo di implementare i token csrf è sicuro?

Sto usando un'app java / scala per scrivere un server web (a scopo di apprendimento, quindi non sono permessi quadri). Ho pensato al modo seguente di implementare i token csrf, ma non sono sicuro che sia sicuro: 1 ogni pagina html include lo...
posta 13.06.2017 - 12:19
1
risposta

Protezione contro CSRF, JWT, cross domain

Ho un'app di frontend pesante con una pausa API in node.js. L'app e il back-end sono su host diversi. Inoltre, è possibile accedere all'app sia con http che con https. Il motivo per cui il contenuto è misto: gli utenti dell'applicazione caricano...
posta 28.05.2017 - 13:32
1
risposta

Come spiegheresti il token CSRF a un principiante? In che modo è più sicuro dell'approccio basato sui cookie?

Ho una comprensione piuttosto basilare di entrambi gli approcci, ma cerco solo una spiegazione migliore, immagino. Ho visto alcuni esempi di attacchi CSRF, utilizzando token CSRF, come framework come Ruby on Rails, Symfony2 ecc. hanno incorpo...
posta 24.03.2017 - 04:15
1
risposta

Le persone hanno bisogno di indirizzare un sito specificamente con l'attacco CSRF

Supponiamo di avere un sito Web legittimo A e un sito Web dannoso B. Ho ragione nell'assumere che per il sito dannoso B il sito di destinazione A con un CSRF debba essere stato creato appositamente per questo scopo? Significa che un sito W...
posta 23.02.2017 - 21:07
2
risposte

Lo stesso token CSRF per la navigazione con più schede

Ho un piccolo problema riguardante la mia funzione token CSRF (cambia il token ogni richiesta). Ecco lo scenario del mio problema: Quando ho aperto 2 pagine (con lo stesso token CSRF), quando apro la prima pagina e invio il modulo lì, il modu...
posta 16.09.2016 - 07:47
2
risposte

Triggering Javascript dalla stringa user-agent. CSRF o XSS?

Ho letto diversi libri sulla sicurezza di PHP, ma dopo averne letto uno mi sono confuso sulla definizione di CSRF (Cross-Site Request Forgery). Wikipedia lo spiega così: Unlike cross-site scripting (XSS), which exploits the trust a user has...
posta 30.07.2016 - 15:57