CSRF Token验证时,表单提交的Token和Cookie里的不一致怎么办?
我在用CSRF Token防护登录表单,后端每次响应头都带了Set-Cookie: csrfToken=xxx,前端用JavaScript读取cookie里的值,然后塞到表单的隐藏字段里:
document.querySelector('#loginForm').addEventListener('submit', function() {
const csrfCookie = document.cookie.replace(/(?:(?:^|.*;s*)csrfTokens*=s*([^;]*).*$)|^.*$/, "$1");
this.querySelector('input[name="_token"]').value = csrfCookie;
});
但提交后后端验证总是失败,发现请求头里的Cookie和表单里的_token值不一样。难道是cookie读取方式有问题?或者需要每次请求都动态更新?
- 1
回答
28浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
- 2
回答
75浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
- 1
回答
75浏览
表单提交带了CSRF Token后后端还是报无效?
我在登录表单里加了隐藏字段的CSRF Token,用JavaScript从API接口获取的,但每次提交后端还是返回“Token无效”。明明前端能正常拿到Token值,表单也正确显示在hidden in...
- 2
回答
63浏览
React表单提交时Anti-CSRF Token没变化导致重复提交被拦截怎么办?
我在用React做文件上传功能时,按照教程实现了CSRF防护,但发现同一个页面多次提交时token没变,导致第二次提交被服务器拦截了。明明在组件挂载时生成了token,代码是这样的: class Fi...
- 2
回答
68浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
- 2
回答
25浏览
单页应用中CSRF Token自动刷新导致表单提交失败怎么办?
我在开发Vue应用时遇到了CSRF防护问题,前端用了axios拦截器在每次请求带上CSRF token,但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...
- 2
回答
79浏览
为什么我的Anti-CSRF Token在跨域请求时失效了?
我在单页应用里用JWT做Anti-CSRF防护,每次登录后把token存在cookie并带上自定义请求头。但调用支付接口时后端返回403,明明请求头里带了正确的token值。 尝试过在Express后...
- 2
回答
23浏览
Double Submit Cookie的token怎么传到请求头里?
我按照文档做了Double Submit Cookie防护,但测试时发现后端收不到CSRF-TOKEN的请求头,只能拿到cookie里的值。这是为什么啊? 我的登录表单这样写的: document.c...
- 2
回答
108浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
- 1
回答
146浏览
CSRF Token在AJAX请求中失效怎么办?后端返回403错误
我在做用户资料更新功能时遇到了问题。后端要求所有POST请求必须携带CSRF Token,我按照常规做法在表单里加了隐藏字段_csrf,但用fetch提交时后端一直返回403。 尝试过把token放在...
提交时用:
这样能确保你读到的Token和后端生成的一模一样。