簡體 English 中英

沒有CSRF令牌的身份驗證

[英]Authentication without CSRF token

原文 2017-04-04 11:43:08 0 1 api/ authentication/ ssl/ csrf

我有一個簡單的Web應用程序，可以對用戶進行身份驗證。 它在https下工作，因為很簡單，它需要兩個字段username ， password + csrf token 。

現在，我實現了一個簡單的API，該API可以驗證具有給定用戶名和密碼的用戶是否存在。 在同一域上也使用https使用jquery.post()方法調用它，但是我僅提供username和password 。

假設我的API在“已注冊”時僅具有一個功能，是否需要擔心什么？ 當然是蠻力的。

假設我的API在“已注冊”時僅具有一個功能，是否需要擔心什么？

“問題”對於我來說太寬泛，無法勝任回答，但您不必擔心CSRF，只要您保留請求及其結果和所描述的原因即可。 讓我來告訴你為什么。

CSRF攻擊是指攻擊者以用戶的名義（帶有用戶的有效會話和/或用戶的其他私人信息）以誘騙者或誘使用戶執行攻擊者想要的操作（發送請求），攻擊者使用攻擊者想要的參數和數據。用戶）。

如果網站認為用戶發出了請求，盡管它只是被迫這樣做，但它可能永遠不會對任何人造成任何傷害，因此您不需要CSRF令牌。 似乎您的情況如此，因為如果強制用戶詢問是否存在由攻擊者提供的名稱和密碼的帳戶，這並沒有害處。

您只需要注意不要根據發送該請求的用戶更改此類請求的原因及其結果。

是否可以在沒有身份驗證令牌的情況下使用 AWS API

[英]Is it possible to use AWS API without Authentication Token

[英]Symfony 3 csrf token

[英]Is API for CSRF token safe?

[英]Can we get the data without submitting the form in case of CSRF Token via Postman

[英]Token authentication

[英]CSRF TOKEN on api serving application

[英]Laravel API requests with CSRF token

[英]CSRF token in angular is different of Laravel 5

[英]adding CSRF TOKEN in axios request

[英]How to POST to Laravel API with CSRF Token?

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 是否可以在沒有身份驗證令牌的情況下使用 AWS API Symfony 3 CSRF令牌 CSRF 令牌的 API 安全嗎？在CSRF Token通過Postman的情況下，我們可以在不提交表格的情況下獲取數據嗎令牌認證 API服務應用程序上的CSRF TOKEN 帶有CSRF令牌的Laravel API請求角度中的CSRF令牌與Laravel 5不同在 axios 請求中添加 CSRF TOKEN 如何使用CSRF令牌發布到Laravel API？

相關標簽