CSRF防护
本话题发布CSRF防护相关的问答文章和技术分享,将持续更新,为您推荐了9篇问答,访问即可查看更多精彩内容。
-
1
回答
62浏览
GET请求里放修改操作会被CSRF攻击吗?
我最近在做用户设置页面,不小心把“删除草稿”功能写成了GET请求,类似点个链接就删了。后来听说这样会有CSRF风险,但我不太确定是不是真的有问题? 比如下面这种写法: <a href="/api...
-
2
回答
68浏览
验证码能防 CSRF 吗?我这样用对不对?
最近在给登录接口加 CSRF 防护,听说加验证码可以防,但我试了下感觉不太对劲。前端提交表单时带上了用户输入的验证码,后端也校验了,但好像还是可能被 CSRF 攻击?是不是我理解错了? 我现在是这么做...
-
2
回答
44浏览
CSRF Token 刷新后前端怎么同步更新?
我在用 Axios 拦截器处理 CSRF Token 过期的情况,后端返回 419 时会刷新 token 并在响应头里带新的 XSRF-TOKEN。但我不确定怎么安全地把新 token 应用到后续请求...
-
2
回答
41浏览
请求头验证 CSRF 为什么还是被拦截了?
我在前端用 fetch 发请求时加了自定义请求头 X-Requested-With: XMLHttpRequest,后端也配置了验证这个头,但 CSRF 攻击测试时还是被拦截了,这是为啥? 我试过在登...
-
2
回答
43浏览
Double Submit Cookie的token怎么同时放在cookie和请求头里?
我在用Vue和Express实现Double Submit Cookie防护,但一直报错。后端设置的cookie是Secure和HttpOnly的,前端用document.cookie拿不到值。尝试在...
-
2
回答
54浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
-
2
回答
127浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
-
2
回答
93浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
-
2
回答
91浏览
React表单二次确认弹窗如何有效防止CSRF攻击?
在做用户删除功能时加了二次确认弹窗,但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件,代码类似这样: function DeleteButton() { const handle...
