草庐IT

django-csrf

全部标签

c# - JSON POST 的 ASP.Net MVC CSRF 预防

我想关闭通过AJAX发布原始JSON的CSRF漏洞。我熟悉MVC使用ValidateAntiForgeryTokenAttribute和@Html.AntiForgeryToken()自动预防CSRF的机制;但是,如果我理解正确的话,这种机制要求POST是使用application/x-www-form-urlencoded的Content-Type完成的>(或类似)。ASP.NetMVC中是否有一种内置机制会拒绝application/json的Content-Type的POST请求的CSRF?如果不是,我是否坚持将防伪放入JSON对象本身?您能否推荐一种技术来保护JSONPOST请
c#预防codeapplicationJSONasp.net-mvcasp.net-mvc-3csrf

javascript - Django Admin 弹出功能

这个主题很常见(此处有最明确的详细说明:http://www.hoboes.com/Mimsy/hacks/replicating-djangos-admin/),但我仍然遇到问题。我正在尝试使用管理站点中使用的“加号”按钮功能,可以在其中向链接条目添加额外的外键。在管理站点中,会显示一个弹出窗口,允许用户提交一个新字段,然后该新值将填充到原始表单中。我认为我的问题集中在包含这一行:在base.html模板和popadd.html模板中。单击加号按钮不会弹出新窗口。popadd模板只是加载到同一个选项卡中。并且提交新条目不会将用户带回原始表单。管理站点正常运行。我在settings.p
javascriptDjangocodestrongadminpopup

javascript - 使用Backbone.js发布数据时如何防范CSRF?

Backbone.js在后台处理将数据发布到服务器,因此没有简单的方法在有效负载中插入CSRFtoken。在这种情况下,我该如何保护我的网站免受CSRF攻击?在这个SO答案中:https://stackoverflow.com/a/10386412/954376,建议验证x-Requested-Byheader是否为XMLHTTPRequest。这足以阻止所有CSRF尝试吗?在Django文档中,建议在每个AJAX请求的另一个自定义header中添加CSRFtoken:https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#aja
javascriptBackbonesectionCSRFbackbone.jsweb

javascript - Django : Is it a good idea to generate JS dynamically?

当我为Django项目编写JS文件时,我当然会进行一些AJAX调用,目前这些调用的url是硬编码的(这非常难看)。我正在考虑让django(而不是Apache)提供JS文件,这样我就可以利用模板标签({%url%}!!!)。我有理由不这样做吗?或者是否有正确的方法来做到这一点?(我可以至少给出一个:重新发送未更改的JS文件会消耗大量时间。如果有一个应用程序在重新启动django服务器时生成文件,并在之后静态地提供它们,那就太棒了!) 最佳答案 我会选择混合技术。静态服务大部分JavaScript。但是在你的Django模板中,有一个
dynamicallyjavascriptsectioncode中生djangoassets

javascript - 将字符串列表从 Django 传递到 Javascript

我的Django对象有一个属性“City”。我正在尝试获取城市列表并使用Jquery在模板中捕获它(以在X轴上的图表中使用)。我的问题是我无法去掉列表的unicode和引号。(我设法为一个单一的值(value)做到这一点)。相反,我坚持这个:[[[u'Paris'],[u'Lyon']]"]我尝试过很多东西,包括JSON。没有成功。我的观点:(实际上,许多尝试之一..)defbarchart1(request):city_array=[]foriin[1,MyObject.objects.count()]:objet=get_object_or_404(MyObject,pk=i)ci
javascriptstrongcodecity_arrayjquerydjangounicode

javascript - 将 X-CSRF-Token header 全局添加到 XMLHttpRequest() 的所有实例;

我正在使用第三方库,该库使用newXMLHttpRequest生成原始XMLHttpRequest。这会绕过我的CSRF保护并被我的Rails服务器击落。有没有办法将预定义的CSRFtoken($('meta[name=csrf-token]').attr('content'))全局添加到的所有实例实例化时的XMLHttpRequest? 最佳答案 我会推荐给interceptcalls到send方法:(function(){varsend=XMLHttpRequest.prototype.send,token=$('meta[na
XMLHttpRequestX-CSRF-Tokencodesectionjavascriptajaxsecuritycsrf

javascript - 如何 : Dynamically generate CSRF-Token in WTForms with Flask

我有一个水果表单,其中有一个用于香蕉的FieldList对象:bananas=FieldList(FormField(BananaForm))在前端,最初,我将其中一个字段添加到FieldListform.append_entry()现在使用Javascript我设法创建函数,可以动态添加(加号按钮)或删除(减号按钮)可填充信息的BananaForm字段的数量。FielstList自动为其所有字段创建ID。所以要用js进行动态添加,我复制了HTML代码并设置字段id+=1,例如:第一个字段:+=1的重复字段:当我像这样相应地命名它们并提交表单时,WTForms将自动识别后端添加的字段(
Dynamicallyjavascript34ltgtvalidationflaskcsrfwtforms

javascript - 在 Aurelia 中防止 CSRF 攻击

在Aurelia中,似乎还没有对CSRF保护的任何支持,这与AngularJS的XSRF-TOKENheader不同,后者是AngularJS框架在所有XHR请求上自动设置的。我应该如何保护Aurelia应用免受CSRF攻击?我应该根据OWASPCSRFPreventionCheatSheet推出自己的支持吗?,或者已经有Aurelia的替代品了吗? 最佳答案 您应该能够通过使用Aurelia的HTTPinterceptors自己相当轻松地完成此操作(参见examplesinthedocs)。在每个请求之前,您可以发送您的token
javascriptAurelianoreferrersectionsecuritycsrfcsrf-protection

javascript - 从 JavaScript 访问 Django 模板 {{Variable}}

我尝试在html页面内联javascript中访问django模板变量,它工作正常。但是如果我使用包含js然后它不起作用。这是限制还是我做错了什么?非常感谢您的帮助。 最佳答案 包含的Javascript不会被服务器上的Django模板处理器处理,所以它不会工作。如果您需要通过模板将信息传递给包含的Javascript文件,请让您的模板创建一个小的block,其中声明了一些全局变量以包含那些模板变量。然后,您的纯Javascript文件可以通过查找由创建的全局对象来获取值。来自模板。 关
javascriptsectioncodedjango

javascript - 如何在 Javascript 生成的 HTML 表单中包含 Django 1.2 的 CSRF token ?

我最近升级到Django1.2.3,我的上传表单现在坏了。每当我尝试上传时,我都会收到“CSRF验证失败。请求已中止。”错误信息。看完Django'sdocumentation在这个主题上,它声明我需要在HTML中添加{%csrf_token%}模板标签在我的模板中。不幸的是,我的是通过JavaScript生成的(具体来说,是ExtJs在面板上的“html”属性)。长话短说,如何将所需的CSRFtoken标记添加到我的当我的不包含在Django模板中? 最佳答案 另一种选择是调整theDjangodocs中所示的基于cookie/h
中包何在sectioncodeoptionsjavascriptdjangoextjscsrfdjango-csrf
13141516171819