标签[x-xsrf-token] - 堆栈内存溢出

Django Rest 框架说 CSRF 验证失败，尽管 CSRF 令牌包含在 axios POST Z0995EFZ640F39E - Django Rest Framework says CSRF verification failed despite CSRF token is included in axios POST header

我有以下反应代码来调用 django rest 框架 API：当此方法被调用时，相应的请求会因 CSRF 验证而失败：但是，当我检查请求的有效负载时，我可以看到X-CSRFTOken确实已填充：那么这里出了什么问题？ ...

无法解密防伪令牌 - 在同一服务器上多次使用同一应用程序 - 虚拟目录 - The antiforgery token could not be decrypted - Same app multiple times on the same server - Virtual Directories

我已将相同的应用程序发布到同一台服务器但在不同的虚拟目录上。 https://server.com/test https://server.com/prod 我从标题中得到错误，我想 ASP.NET MVC “看到”它们是同一个网站（server.com）当然必须有一个设置或配置才能使它们一起工 ...

三层应用程序是否需要 AntiForgeryToken？ - Is AntiForgeryToken required in three tier application?

我的安全扫描检测到类型为“Missing AntiForgeryToken implementation”的问题。我的应用程序有一层 .netCore WebApi 服务，一个带有 RazorPages 服务的 .netCore WebApi 和一个 Angular 前端应用程序。在线阅读所有 ...

XSRF 令牌验证 - XSRF token validation

由于 XSRF 验证涉及将 UI 请求中发送的 cookie/令牌与作为同一请求的一部分的请求 header 进行匹配，那么本地测试的选项有哪些？因此，假设我在本地运行我的 UI，并且指向托管在不同位置的服务器，则 cookie 将永远无法在 localhost 上读取（因为它是不同的主机）。在 ...

如果我们将 HttpCookie.HttpOnly 设置为 true，则客户端的更改 - Changes in Client side if we are Setting HttpCookie.HttpOnly as true

在 .net 核心中，我们使用 IAntiforgery 配置防伪功能以及 [ValidateAntiForgeryToken] 或 AutoValidateAntiforgeryToken 来防止跨站点请求伪造 (XSRF/CSRF) 攻击。要在中间件中配置防伪功能，我们使用微软文档链接现在 ...

如何使用 Httpclientfactory Typed 客户端调用用 ValidateAntiForgeryToken 修饰的服务器 api？ - How to call server api decorated with ValidateAntiForgeryToken using Httpclientfactory Typed clients?

我正在尝试使用类型化的 httpclient 使用 GetAsync 和 PostAsync 合并一个编辑表单页面。一切正常，除了我的代码不使用 ValidateAntiForgeryToken 调用 API 操作。大多数在线示例都没有解决 httpclientfactory 使用的 httpc ...

基本身份验证不适用于 XSRF 令牌拦截 - Basic authentication does not work with XSRF token interception

我正在实现一个简单的身份验证 API ，它配置了Spring Boot以通过Basic Auth访问。这是一个简单的GET API，没有任何参数，仅用于强制浏览器触发身份验证 window：我从我的Angular 7.3.10项目中使用了这个 API，该项目服务于同时我正在使用anti-CSR ...

如何以编程方式登录 Cypress for PHP larvavel session 网站 - How to programmatically login in Cypress for PHP larvavel session website

我在 Cypress 中编写测试代码。 UI登录已经测试没有问题，但是为了测试网站的其他部分，我想以编程方式登录以进行快速测试。该网站写在 PHP 中，并在标题的 set-cookie 中使用 laravel session，下面是我的代码：规格命令.ts 索引.d.ts 任何帮助表示赞赏。 ...

如何在Angular中设置XSRF-TOKEN 11 API在Laravel中请求header？ - How to set XSRF-TOKEN in Angular 11 API request header in Laravel 8?

我将Angular (11) frontend集成到Laravel 8应用程序中。为了发出 API 请求，用户已登录。每次前端 Angular 向后端 API 发出请求时，我都会收到以下错误：我已经设置了VueJs frontend来测试相同的 API 端点 URL，VueJs 可以到达 AP ...

我需要在 asp.net Core 中创建 XSRF 中间件吗？ - Do I need to create an XSRF middleware in asp.net Core?

我不确定是否必须将 xsrf 中间件附加到我的 ASP.NET Core REST Api 应用程序。我已经通过添加 UseCors() 中间件将我的应用程序管道配置为使用 cors，但仍然不明白这是否足够。现在我正在使用AddAntiforgery和AddCors以及我自己的中间件UseXs ...

如何在 Python 中使用 session.get 请求发回 XSRF 令牌？ - How to send back XSRF-token with session.get request in Python?

我正在尝试在网站上搜索“Adrian”一词。我已经明白，首先我必须向网站发送一个请求，在响应中我将有一个 XSRF 令牌，我需要将其用于第二个请求。据我了解，如果我使用session.get() ，它也会自动为第二个请求保留 cookies 。我运行第一个请求，得到 200 OK 响应，我打 ...

如何在赛普拉斯对不同域的请求中访问 cookies？ - How to access cookies inside a Cypress request to a different domain?

作为赛普拉斯测试的一部分，我正在尝试使用cy.request在不同的域中进行身份验证。身份验证请求需要包含 XSRF-TOKEN cookie 的值作为 header。这在与认证域相同的 baseURL 上很容易解决：访问域，通过cy.getCookie读取 cookie，然后发出请求。由于 ...

Laravel Sanctum/React on LAMP Stack - 未经身份验证但存在 x-xsrf-token - Laravel Sanctum/React on LAMP Stack - Unauthenticated but x-xsrf-token present

我在 LAMP 堆栈上使用 Laravel Sanctum。我有我的前端反应应用程序指向/var/www/app.example.com和我的后端 Laravel 指向/var/www/appapi.example.com在同一服务器上两者都加载正常。我目前正在构建本教程 - https:// ...

Angular http 拦截器，缺少 XSRF 令牌 - 保留或包装其他 htp 请求，直到 api-bootstrap（api 引导调用）请求完成 - Angular http interceptor, missing XSRF token - hold or wrap other htp requests until api-bootstrap (api bootstrap call) request is completed

Angular 有时无法添加 XSRF 令牌，因此我们添加了拦截器做双重检查并在丢失时添加令牌。然后我们发现它有时无法读取 cookie，所以我们添加了 3rd 方库来读取 cookies.. 但是我们仍然面临第一次尝试时 XSRF 令牌丢失的 prod 错误，特别是当从另一个站点重定向到我们这 ...

Tinymce 注入安全 - Tinymce injection security

我有公共编辑器，用户可以在其中使用TinyMCE共享笔记，但我想阻止他们在此编辑器中插入JavaScript或SQL （任何类型的脚本）。所以我的问题是：如何？ Here is my editor code ...

均值栈中的CSRF令牌 - CSRF Token in Mean Stack

我无法将 express 的 CSRF 令牌与 Angular 的 XSRF TOKEN 集成。我正在使用给定的教程https://jasonwatmore.com/post/2020/09/08/nodejs-mysql-boilerplate-api-with-email-sign-up-ve ...

cookie 不在 document.cookie 列表中，而 http_only = false - A cookie not in document.cookie list while http_only = false

我有一个 Nuxt.js 前端应用程序，它执行身份验证请求。后端有一个 Laravel/Sanctum 应用程序。它使用内置的基于 cookie 的会话身份验证。因为没有XSRF-TOKEN X HTTP标头在/登录请求提供的认证请求失败。任何人都可以帮助澄清为什么标头不是从后端提供的 co ...

Ruby：从 UPS API 获取跟踪信息（无需登录） - Ruby: Get the tracking information from the UPS API (without login)

我构建了一个 ruby on rails web 应用程序，它解析来自“https://www.ups.com/track/api/Track/GetStatus”的 UPS 货件的跟踪信息。从昨天开始，我开始收到 401 错误，我再也无法检索货件的跟踪信息。我试图在我的请求中添加一个“X ...

CSRF 实施不适用于 OAM - CSRF Implementation does not working with OAM

我们的应用程序是带有 angular 的 spring 引导。由于安全原因，我们需要实现 CSRF。我们已经完成了实现，但仍然被 403 禁止。我们确实使用 OAM 登录认证。尽管将 HTTPonly 设置为 false，但在浏览器中我们看到它不是 false。我们可以很好地看到令牌。 ...

JWT - 将刷新令牌保存为 cookie 危险吗？ - JWT - Is saving the refresh token a cookie dangerous?

我已经阅读了几天，我有两个问题 1）如果我将访问令牌存储在本地存储中，并将刷新令牌存储在 HttpOnly cookie 中，我是否需要担心 XSRF？如果攻击者作弊以发出请求，则响应由好用户接收。它请求新的访问令牌和刷新令牌还不错，攻击者无法窃取响应的内容。这是真实的？如果攻击是 XSS ...