آنچه شما توصیف می کنید در اصل کاربر است که اعتبار خود را در یک سایت مخرب وارد می کند که به نظر می رسد یک سایت قابل اعتماد است. این اعتبارنامه ها پس از آن برای به خطر انداختن حساب کاربر مورد استفاده قرار می گیرند. شما تا زمان سوءاستفاده از اعتبارنامه از این…
آیا Tomcat در برابر CSRF صحیح محافظت می کند؟
اگر من این را صحیح بخوانم راهی که Tomcat از CSRF محافظت می کند ، آن را در برابر شرایطی که توکن CSRF در کوکی کپی شده باشد ، آسیب پذیر می کند و پارامترهایی را درخواست می کند که به مهاجم اجازه می دهد تا به سادگی یک توکن اختراع کند (همانطور که در…
رمزگذاری – گزینه جایگزین رمز ضد CSRF
در یک سناریو از یک فیلد فرم ، به جای قرار دادن یک نشانه ضد CSRF ، می توانیم نام های فیلد فرم را بر اساس هر کاربر رمزگذاری کنیم ، با استفاده از یک کلید که از نام کاربری گرفته می شود (مثلاً k = HMAC ( نام کاربری ، مخفی)) ، که در…
احراز هویت – بهترین روش CSRF / CORS برای برنامه های جهانی چیست؟
من با استفاده از وب واکنشی بومی و واکنشی بومی ، یک برنامه جهانی تهیه می کنم. نقطه پایانی Graphql برای عموم آزاد است. می دانم که CORS / CSRF برای برنامه های تلفن همراه کاربرد ندارد. اما من همین برنامه را با استفاده از re-native-web در مرورگر اجرا می کنم. بنابراین من باید از…
محافظت CSRF برای برنامه وب محور API
من در حال حاضر در حال ساختن یک برنامه وب (و سرانجام ، یک برنامه موبایل ترکیبی نیز هستم) که از طریق یک API RESTful که ساخته ام هدایت می شود. احراز هویت کاربر در API از طریق نشانه های وب JSON (که در هدر Bearer از طریق HTTPS منتقل می شود) انجام می شود.…