[英]CSRF token cookie vulnerabilities during security scan
我正在使用Django為我的雇主創建一個簡單的網站,並且我不得不通過安全掃描來運行代碼以測試漏洞。 問題之一是cookie漏洞,我可以找到要查找的文檔。
登錄我的網站時會引發Cookie漏洞。
這是錯誤-掃描由OCIO-Internet-Scan運行
CVSS:5.0消息:csrftoken Cookie有問題
csrftoken =J4S6ZO7ssz4TUIlRNv9d95mCFomAbXO1; Host = [removed] Path = /J4S6ZO7ssz4TUIlRNv9d95mCFomAbXO1; Host = [removed] Path = /
- 可以緩存Cookie。
- Cookie是持久性的。 Cookie過期時間:2017年6月7日,星期三
持久會話處理cookie:持久設置會話處理cookie時,即使用戶終止了會話,它也允許cookie有效。 因此,攻擊者可以使用瀏覽器存儲為文本文件的會話cookie來訪問受限制的信息。 可緩存的cookie:可緩存的cookie可以緩存在代理或網關處。 可能會導致提供過時或過時的Cookie值。 如果攻擊者破壞了該代理或網關,它也可能會竊取此類cookie。
我的問題是,為此,我究竟可以在哪里更改csrftoken行為? 我無法使用google找到它,也無法修復該網站,因此無法啟動該網站。 我什至可以更改csrf的行為以適應這些錯誤嗎?
聽起來您想將CSRF_COOKIE_AGE設置更改為None :
默認值: 31449600 (大約1年,以秒為單位)
CSRF cookie的生存時間(以秒為單位)。
設置有效期限長的原因是為了避免用戶關閉瀏覽器或為頁面添加書簽,然后從瀏覽器緩存中加載該頁面的問題。 如果沒有持久性cookie,則在這種情況下,表單提交將失敗。
某些瀏覽器(特別是Internet Explorer)可能不允許使用永久性cookie,或者使cookie jar的索引在磁盤上損壞,從而導致CSRF保護檢查(有時是間歇性地)失敗。 將此設置更改為“ 無”以使用基於會話的CSRF cookie,該cookie將cookie保留在內存中,而不是持久存儲中。
這將使其成為會話cookie,而不是持久性cookie。 會話Cookie沒有到期日期,因此瀏覽器僅將它們保存在當前瀏覽器會話的內存中,然后在會話結束時將其刪除。
未設置CSRF令牌。如何在Typescript中設置CSRF cookie?
[英]CSRF Token is not set..How to set CSRF cookie in Typescript?
ensure_csrf_token 沒有在 cookies 選項卡中設置 csrf cookie
[英]ensure_csrf_token is not setting the csrf cookie in cookies tab
在沒有CSRF的情況下進行Flask-Security令牌登錄-差不多了,但還不完全
[英]Flask-Security token login without CSRF - Almost there but not quite
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
