草庐IT

X-CSRF-Token

全部标签

security - CSRF 和 X-CSRF-Token 的区别

在HTTPheader中使用X-CSRF-Token或token有什么区别在隐藏字段中?何时使用隐藏字段以及何时使用header,为什么?我认为X-CSRF-Token是在我使用JavaScript/AJAX时,但我不确定。 最佳答案 CSRF保护有多种方法。传统方式(the"Synchronizertoken"pattern)通常涉及为每个请求设置唯一的有效Token值,然后在随后发送请求时验证该唯一值。通常通过设置隐藏的表单字段来完成。token值通常是短暂的并与该session相关联,因此如果黑客试图重用他们之前在页面上看到的

php - 在 cURL 中使用窃取的 cookie 绕过 CSRF

我必须处理一个网页。本网页基于YII框架,登录页面受CSRFtokens保护。当我通过POST方法传递登录凭据时。我收到error400和TheCSRFtokencouldnotbeverified消息。我不知道如何绕过这种保护。我不明白这个机制。当我通过Chrome浏览器登录时,我看到了POST消息的样子。它有4个参数:CSRFkey、登录名、密码、一个空变量。浏览器如何获取正确的CSRFkey以进行打磨?我有这个网页的登录名和密码,我可以作为普通用户登录。只有登录页面受到CSRF保护。我可以在正常登录时使用浏览器创建的cookie(如何操作),将此cookie提供给cURL并开始处

php - laravel 中的 Jwt-Auth 可以处理多服务器配置中的无效 token 吗?

我有一个laravelRESTAPI,它使用tymondesigns/jwt-auth进行身份验证,并希望将应用程序从单服务器扩展到多服务器配置,前面有一个负载均衡器。该流程使用RefreshToken中间件,本质上,token在每次请求后都会失效,并且会随响应一起返回一个新token。(https://github.com/tymondesigns/jwt-auth/wiki/Authentication)jwt如何在多服务器配置中管理无效token,其中使用一台服务器使token无效,而使用无效token的新请求在另一台服务器上命中? 最佳答案

php - 为什么 Twitter 返回 "Failed to validate oauth signature and token?"

很抱歉给您带来另一个“无法验证oauth签名和token”错误,但我无法弄清楚我的请求有什么问题。我正在从这个字符串构建我的签名:POST&http%3A%2F%2Fapi.twitter.com%2Foauth%2Frequest_token&oauth_callback%3Dhttp%3A%2F%2Fcraiga.id.au%2Ftwitter%2Fconnected%26oauth_consumer_key%3Dtm5...DOg%26oauth_nonce%3D8...22b%26oauth_signature_method%3DHMAC-SHA1%26oauth_timest

php - 如何防止 PHP、csrf、xsrf 中的表单重放/中间人攻击

我有一个Web表单并且我正在使用PHP。我知道可以操纵表格(我相信这称为重放攻击或中间人攻击)。所以我想使用一些真实性token作为隐藏字段。我知道的威胁可能性是:攻击者劫持合法用户的表单(我认为这是中间人攻击)合法用户本身就是攻击者:他获取表单,读取token但使用它发送危险数据(我认为这是重放攻击)在我开始提问之前,如果我到目前为止所说的任何内容不正确,请纠正我,因为我的理解可能有缺陷。现在回答问题:生成此token以便拒绝没有它的表单的最佳做法是什么(例如,加盐?)。人们如何确保token不被重放。基于评论的新小问题:session劫持与中间人攻击一样吗?

php - X-XSRF-TOKEN 和 X-CSRF-TOKEN 有什么区别?

什么时候用隐藏字段,什么时候用header,为什么?X-XSRF_TOKEN我们什么时候用?X-CSRFTOKEN我们什么时候用? 最佳答案 所有这些都是为了防止跨站请求伪造,在向后端发送请求时只需要使用其中一个。不同的名称来自不同的框架。这都是关于发送csrfvalue后端。然后后端会将它与存储在该特定用户的数据库中的csrf值进行比较,如果匹配,它将允许处理请求。csrf:用于html表单(不是ajax)在呈现html表单时在后端生成。我们不能直接在html表单中设置请求头,所以一个简单的方法是通过表单输入将其作为隐藏字段发送。

php - 使用 OAuth 刷新 token 获取新的访问 token - Google API

我的应用很简单,它连接到Google+API以验证用户身份,如果成功,它会检索用户的电子邮件,然后根据电子邮件对给定的数据库执行一系列操作检索。我的主要问题是,我的访问token每小时都会过期,我似乎不知道如何“刷新”它。我收到以下错误,我认为这是预期的:TheOAuth2.0accesstokenhasexpired,andarefreshtokenisnotavailable.我目前将访问token存储在数据库中,因此我可以在需要时进行检索。我唯一的问题是如何使用该token获得新token? 最佳答案 哇,我花了很长的时间才弄

php - PHP 中的 JWT(JSON Web token ),无需使用第 3 方库。怎么签?

有一些库可用于在PHP中实现JSONWebtoken(JWT),例如php-jwt。我正在编写自己的非常小且简单的类,但我无法弄清楚为什么我的签名无法通过here验证,即使我已尝试遵守标准。我已经尝试了几个小时,但我被困住了。请帮忙!我的代码很简单//buildtheheaders$headers=['alg'=>'HS256','typ'=>'JWT'];$headers_encoded=base64url_encode(json_encode($headers));//buildthepayload$payload=['sub'=>'1234567890','name'=>'Joh

Mac 上的 Android Studio,如何修复空白处的 "Unexpected token"?

我是AndroidStudio的新手,遇到了一个问题,我将网络教程中的代码粘贴到一个项目中,修复导入,但仍然有每一行都有一些AndroidStudio识别为的前导空格“意外的标记”。手动选择有问题的空格并将其删除后,错误就消失了。我试过Option+command+Lshortcutforcodeformatting,butthatdidnotfixtheissue如何修复粘贴到AndroidStudio.java文件中的代码的“意外token”错误? 最佳答案 由于用户级别的原因无法发表评论,但这绝对是您复制的任何网络编码中的不可

android - 无法使用 Cordova 推送通知插件获取设备 token

我正在使用Ionic框架构建一个推送通知应用程序,因此我尝试遵循此示例应用程序:https://github.com/hollyschinsky/PushNotificationSample问题是,当我尝试在Android设备中运行示例时,它不会检索设备token。我将register函数中的senderId替换为我自己的Google应用程序中的senderId,但它不起作用。我做错了什么?以下是我使用的版本:Ionic--version1.3.20Cordova--version5.0.0Phonegap--version4.2.0-0.24.2Androiddevice:HTCOn