La falsificación de solicitudes entre sitios es un ataque malicioso para explotar la confianza de un sitio web en el navegador de un usuario.
Estoy escribiendo una aplicación (Django, sucede) y solo quiero tener una idea de qué es realmente un "token CSRF" y cómo protege los datos. ¿Los datos de publicación no son seguros si no usa tokens
Estoy tratando de entender todo el problema con CSRF y las formas adecuadas de prevenirlo. (Recursos que he leído, entiendo y estoy de acuerdo con: OWASP CSRF Prevention CHeat Sheet , Preguntas sobre CSRF ). Según tengo entendido, la vulnerabilidad en torno a CSRF se introduce por el supuesto de...
Estoy enviando datos desde la vista al controlador con AJAX y recibí este error: ADVERTENCIA: no se puede verificar la autenticidad del token CSRF Creo que tengo que enviar este token con datos. ¿Alguien sabe cómo puedo hacer esto? Editar: mi solución Hice esto poniendo el siguiente código...
He implementado en mi aplicación la mitigación de los ataques CSRF siguiendo las informaciones que he leído en alguna publicación de blog en Internet. En particular, estas publicaciones han sido el motor de mi implementación Mejores prácticas para ASP.NET MVC del equipo de contenido de...
Podría usar un poco de ayuda para cumplir con el mecanismo de protección CSRF de Django a través de mi publicación AJAX. He seguido las instrucciones aquí: http://docs.djangoproject.com/en/dev/ref/contrib/csrf/ Copié exactamente el código de muestra AJAX que tienen en esa página...
Tengo problemas con el AntiForgeryToken con ajax. Estoy usando ASP.NET MVC 3. Probé la solución en llamadas jQuery Ajax y Html.AntiForgeryToken () . Usando esa solución, el token ahora se pasa: var data = { ... } // with token, key is '__RequestVerificationToken' $.ajax({ type: "POST", data:...
Por lo que he aprendido hasta ahora, el propósito de los tokens es evitar que un atacante falsifique el envío de un formulario. Por ejemplo, si un sitio web tenía un formulario que ingresaba artículos agregados a su carrito de compras, y un atacante podría enviar spam a su carrito de compras con...
Sé la autenticación basada en cookies. El indicador SSL y HttpOnly se puede aplicar para proteger la autenticación basada en cookies de MITM y XSS. Sin embargo, se necesitarán medidas más especiales para aplicar con el fin de protegerlo de CSRF. Son solo un poco complicados. ( referencia...
He visto artículos y publicaciones por todas partes (incluido SO) sobre este tema, y el comentario predominante es que la política del mismo origen impide que un formulario POST entre dominios. El único lugar donde he visto a alguien sugerir que la política del mismo origen no se aplica a las...
Si la protect_from_forgeryopción se menciona en application_controller, puedo iniciar sesión y realizar cualquier solicitud GET, pero en la primera solicitud POST Rails restablece la sesión, lo que me desconecta. protect_from_forgeryDesactivé la opción temporalmente, pero me gustaría usarla con...
¿Es necesario usar Protección CSRF cuando la aplicación se basa en autenticación sin estado (usando algo como HMAC)? Ejemplo: Tenemos una sola aplicación página (de lo contrario tenemos que añadir el token en cada enlace: <a href="...?token=xyz">...</a>. El usuario se autentica...
Sé que hay respuestas con respecto a Django Rest Framework, pero no pude encontrar una solución a mi problema. Tengo una aplicación que tiene autenticación y algunas funciones. Le agregué una nueva aplicación, que usa Django Rest Framework. Quiero usar la biblioteca solo en esta aplicación....
Mi página de registro muestra el formulario correctamente con CsrfToken ( {{ csrf_field() }}) presente en el formulario). Formulario HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} .... </form> Estoy...
Tengo una aplicación de rieles que sirve algunas API para una aplicación de iPhone. Quiero poder simplemente publicar en un recurso sin importarme obtener el token CSRF correcto. Probé algunos métodos que veo aquí en stackoverflow pero parece que ya no funcionan en los rieles 3. Gracias por...
Esta pregunta solo trata sobre la protección contra ataques de falsificación de solicitudes entre sitios. Se trata específicamente de: ¿Es la protección a través del encabezado de origen (CORS) tan buena como la protección a través de un token CSRF? Ejemplo: Alice inició sesión (usando una...
Estoy tratando de agregar algo de seguridad a los formularios de mi sitio web. Uno de los formularios utiliza AJAX y el otro es un sencillo formulario de "contacto". Estoy intentando agregar un token CSRF. El problema que tengo es que el token solo aparece en el "valor" de HTML algunas veces. El...
Después de configurar Spring Security 3.2, _csrf.tokenno está vinculado a una solicitud o un objeto de sesión. Esta es la configuración de seguridad de primavera: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...
Instalé Laravel 5.7 Se agregó un formulario al archivo. \resources\views\welcome.blade.php <form method="POST" action="/foo" > @csrf <input type="text" name="name"/><br/> <input type="submit" value="Add"/> </form> Agregado al archivo
¿Cómo puedo recuperar el token CSRF para pasar con una solicitud JSON? Sé que, por razones de seguridad, Rails está verificando el token CSRF en todos los tipos de solicitud (incluido JSON / XML). Podría poner mi controlador skip_before_filter :verify_authenticity_token, pero perdería la...
Estoy construyendo un servicio web que utiliza exclusivamente JSON para su contenido de solicitud y respuesta (es decir, sin cargas útiles codificadas en forma). ¿Es un servicio web vulnerable al ataque CSRF si se cumple lo siguiente? Cualquier POSTsolicitud sin un objeto JSON de nivel...