草庐IT

csrf-token

全部标签

php - WordPress CSRF 利用草稿状态

在创建新的帖子草稿时,如何最好地保护WP免受CSRF攻击?如果我添加新帖子并保存为草稿,我可以使用BurpSuite拦截请求。使用BurpSuite中的参与工具,我可以更改posttitle的值并将URL粘贴回浏览器,这会创建一个新草稿更改了帖子标题。我怎样才能防止这种情况发生?干杯 最佳答案 WordPress已经通过使用随机数提供了CSRF保护机制。创建新帖子时,会创建一个新的唯一随机数。此随机数是必需的,并且必须与其余的POST数据一起提交,以便将帖子保存为草稿或发布。如果nonce不存在或无效,则请求被拒绝。(使用Wordp
草稿WordPressnoreferrerphpsecuritycsrfcsrf-protection

php - 如何使用 PHP 生成 Google ReCaptcha V2 安全 token ?

我正在尝试为ReCaptchaV2生成安全token,如下所述:https://developers.google.com/recaptcha/docs/secure_token不幸的是,我生成的stoken无效,我无法找到一种方法来检查它为什么不起作用。有一个有效的Java示例(STokenUtils.java),但我发现自己无法将其翻译成PHP。publicstaticfunctiongenerateSecurityToken($secretKey){$stoken=array('session_id'=>session_id(),'ts_ms'=>round(microtime(
ReCaptchaGooglecodesectionphpsecurityencryptiontoken

DVWA(Web 渗透的靶机环境)+csrf漏洞练习

一、DVWA简介DamnVulnerableWebApplication用来进行安全脆弱性鉴定的PHP/MySQLWeb应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块,分别是:1、BruteForce(暴力(破解))、2、CommandInjection(命令行注入)、3、CSRF(跨站请求伪造)、4、-FileInclusion(文件包含)、5、FileUpload(文件上传)、6、InsecureCAPTCHA(不安全的验证码)、7、SQLInjection(SQL注入)、8、SQLInjection(Bli
靶机漏洞stylexffsectionmysqlweb安全

php - Codeigniter (CSRF) jQuery ajax 问题

我这里有一个问题,当我尝试使用ajax(POST)发布内容时,我总是收到错误消息。我知道是CSRF给我带来了这些问题,我反复尝试寻找解决方案。但是,我希望这里有人可以帮助我!这是我不断收到的错误(来自googlechromeinspector),*无法加载资源:服务器响应状态为500(内部服务器错误)XHR完成加载:“http://localhost/woho/ajax/images”。*PHP(Controller)classAjaxextendsCI_Controller{functionimages(){echo'HelloWorld';}}JavascriptvarID=$("
CodeigniterjQuerysection3934phpjavascriptajax

在内部局域网只能使用IP访问的电脑中利用宝塔面板部署Django项目,如何解决CSRF验证问题?

在内部局域网中通过IP地址访问并使用宝塔面板部署的Django项目时,要解决CSRF验证问题,可以按照以下步骤操作:确保CSRFToken正确设置:在你的Django模板中的表单标签内包含{%csrf_token%}。这会自动处理CSRFtoken的生成和验证。配置CSRF_TRUSTED_ORIGINS:如果你的Django项目版本是3.0以上,需要在settings.py文件中添加内网IP地址到CSRF_TRUSTED_ORIGINS列表中,例如:pythonCopyCodeCSRF_TRUSTED_ORIGINS=['http://192.168.1.100','http://*.loc
宝塔局域网codestrongxfftcp/ipdjangocsrfpython网络网络协议

php - 刷新 oauth2 token google api 和 HWIOAuthBundle

我如何刷新token?我将Googleapi与此token一起使用-它可以工作但找不到如何刷新它,在此示例中我们不保存过期时间。我需要`access_type:offline`然后$client=newGoogle_Client();//$client->setClientId($GoogleClientId);$client->setApplicationName($GoogleAppName);$client->setClientId($this->user->getGoogleId());$client->setAccessType('offline');如果token有效我可以
HWIOAuthBundleoauth2clientcodegtphpsymfonygoogle-apigoogle-api-php-client

php - Symfony:在防火墙后路由的 SecurityContext 中找不到 token

在我的Symfony2应用程序中,我构建了一个异常监听器,它让我知道未处理的错误。当机器人访问我的页面时,我收到有关以下错误的消息,该页面位于防火墙后面:ATokenwasnotfoundintheSecurityContext.我还检索了以下数据:UseragentMozilla/5.0(compatible;AhrefsBot/5.0;+http://ahrefs.com/robot/)Traceasstring#0/home/foodmeup.net/production/releases/20150527141710/app/cache/prod/classes.php(295
后路SecurityContextComponentSymfony39phperror-handlingbots

php - codeigniter 休息服务器库中基于 token 的身份验证

我尝试使用PhilSturgeon的restserver在codeigniter中构建restfulAPI问题是我不知道如何进行基于token的身份验证。我正在为移动应用程序构建该API,它是通过HTTPS实现的。首先用户将通过登录进行身份验证,然后他将能够使用应用程序功能。我想按照此处解释的方式实现:Howtoken-basedauthenticationworks问题:如果我在请求中向服务器发送token,我应该在哪里检查有效性?休息服务器库是否支持基于token的身份验证?如果可以,我需要做哪些配置?或者我需要实现我的身份验证方法?或者有更好/更简单的身份验证方式而不是基于tok
中基codeignitertoken39gtphpcodeigniter-3codeigniter-restserver

php - Laravel 社交名媛错误 : "An active access token must be used to query information about the current user."

我正在使用Socialite通过Facebook验证我的用户。但是,我无法让它工作。我关注了this教程,但出现以下错误:我到处看了看,什么都试过了,但我无法让它工作。这是我的代码:在services.php中:'facebook'=>['client_id'=>'[MyAppID]','client_secret'=>'[MyAppSecret]','redirect'=>'http://localhost:8000/auth/facebook/callback/',],我的路线:Route::group(['middleware'=>['web','requestlog']],fu
名媛informationcode39facebookphplaravellaravel-5.2facebook-php-sdk

php - oAuth 中的 access token 是否应该在用户每次登录时生成?

我已经在php中实现了oAuth(目前用于Twitter),正如我在几个教程中读到的那样,您应该将访问token存储在数据库中以备将来使用。但是,我不知道您如何知道是否为特定用户存储了访问token,以决定是否应将其从数据库中取出或重新生成。这是描述我的问题的流程:用户首次登录:获取请求token将用户发送到提供商的身份验证页面用户返回带有oauthtoken和oauth验证器的回调url获取访问token在数据库中保存访问token/user_id/screen_name以备将来使用用户在10分钟后返回:如果用户没有注销,访问token仍然在服务器session变量中。否则,重复过程
在用accesstokenlisectionphpapitwitteroauth
82838485868788