آنچه شما توصیف می کنید در اصل کاربر است که اعتبار خود را در یک سایت مخرب وارد می کند که به نظر می رسد یک سایت قابل اعتماد است. این اعتبارنامه ها پس از آن برای به خطر انداختن حساب کاربر مورد استفاده قرار می گیرند. شما تا زمان سوءاستفاده از اعتبارنامه از این…
آیا Tomcat در برابر CSRF صحیح محافظت می کند؟
اگر من این را صحیح بخوانم راهی که Tomcat از CSRF محافظت می کند ، آن را در برابر شرایطی که توکن CSRF در کوکی کپی شده باشد ، آسیب پذیر می کند و پارامترهایی را درخواست می کند که به مهاجم اجازه می دهد تا به سادگی یک توکن اختراع کند (همانطور که در…
رمزگذاری – گزینه جایگزین رمز ضد CSRF
در یک سناریو از یک فیلد فرم ، به جای قرار دادن یک نشانه ضد CSRF ، می توانیم نام های فیلد فرم را بر اساس هر کاربر رمزگذاری کنیم ، با استفاده از یک کلید که از نام کاربری گرفته می شود (مثلاً k = HMAC ( نام کاربری ، مخفی)) ، که در…
احراز هویت – آیا تخفیف های تجاری برای قرار دادن یک نشانه auth در یک کوکی فقط http برای یک SPA ارزش آن را دارد؟
من برای یادگیری / سرگرمی یک برنامه وب (ریل api + واکنش SPA) ایجاد کرده ام و در حال تحقیق در مورد احراز هویت بوده ام. متداول ترین توصیه شده برای تأیید اعتبار SPA هایی که خوانده ام ، قرار دادن نشانه auth (مانند JWT) در یک کوکی امن HTTP است فقط برای محافظت از…
محافظت CSRF برای برنامه وب محور API
من در حال حاضر در حال ساختن یک برنامه وب (و سرانجام ، یک برنامه موبایل ترکیبی نیز هستم) که از طریق یک API RESTful که ساخته ام هدایت می شود. احراز هویت کاربر در API از طریق نشانه های وب JSON (که در هدر Bearer از طریق HTTPS منتقل می شود) انجام می شود.…