問題タブ [csrf-protection]

この質問は、コーディング方法に関する直接的な質問ではなく、再保険に関するものです。独学者として、私は専門家にそのようなことを尋ねる機会があまりなかったので、ここで試してみました.

django-docs ( https://docs.djangoproject.com/en/1.3/ref/contrib/csrf/ ) のドキュメントとそのページの情報を読みました: http://cwe.mitre.org/top25 /#CWE-352

私が理解している限り、django はトークン (ある種の PIN コード) をユーザーに配信します。そして、それが本当に彼のものであることを確認するために、彼は次に要求を行うときにそれを返さなければなりません. Google の何人かは、これが ajax リクエストでも可能であることを発見しました。これが、1.2.6 以降、それらを保護する新しいポリシーを持っている理由です。CSRF とは、他人になりすまして私に何か (悪い、危険なコード、破損したファイル、またはそのようなもの) を与える人に関するものです。

したがって、次のようなコードがある場合:

指定された値を整数に変換しようとする前に、データベースまたはアプリケーションの一部へのアクセスを許可していないため、保存する必要があります。また、誰かがファイルをダウンロードしたという誤った記録を行っても、それほど大きな被害はありません (この場合はほとんどありません)。この見解に基づいて請求書を作成すると仮定すると、CSRF免除はさまざまな悪い考えになります(そうですか?)。

また、誰かがユーザーから CSRF トークンを盗むことができず、それを使用して私 (またはユーザー) をだますことができない理由もわかりません。だから私はこのトピックについていくつか質問があります:

1）上記の私の仮定は正しいですか？

2) 誰かが私に教えてくれませんか? あまりいい人ではない人が上のビューを使用して汚いトリックを行うことができたのは何 (そしておそらくどのように) でしょうか?

3）CSRFは中間者攻撃の例ですか、それは単にそれに関連しているだけですか、それともまったく別のものですか？

4) そのような危険性についてさらに読むための貴重なリンクはありますか?

これらの質問のいくつかは十分な情報に基づいていないように聞こえるかもしれませんが、私はそれを乗り越えようとしています. 誰かが私を助けてくれたらとてもうれしいです。

もう一度質問して申し訳ありませんが、pplはcsrfをフォームの送信またはフォームの複製とのみ接続しているようです（理由はidk）。

私のアイデアは、外部の要求からデータを保護することです。リクエストごとにトークンを設定し、ユーザーがログインしてトークン化を開始します。これにより、攻撃者は前のページを読み込んでトークンを取得し、次のリクエストに送信できなくなります。プライベートユーザーのコンテンツが盗まれないように、最初から各リクエストをトークン化するのは良い考えですか？これは、保護されていないソーシャルWebサイトに対する強力な攻撃だと思います。攻撃者は、別の人気のあるWebサイトからユーザーデータを盗みます。

ここで修正できない小さな問題があります。この投稿は完了しますが、応答で「500 内部サーバー エラー」が返されます。</p>

誰がそれを修正しますか？

CI フォーラムで検索した後、このリンクcodeigniter-csrf-protection-with-ajax を見つけましたが、それで解決できません。

OK、私がやろうとしていることは、クロスサイト攻撃のように見えるかもしれません - CSRF トークンの目的そのものを無効にしますが、ここに必要なものがあります: 私は Symfony アプリ サイト (app.timo.in) を持っています。 PHP ホームページ Web アプリ (www.timo.in)。登録済みの訪問者がホームページからログインできるようにしたい。

情報: アプリとホームページは同じドメイン (timo.in) にあります

可能なオプションは、両側が理解できる sharedSecret に基づいて他のトークンを生成することです。トークンの有効期限が早すぎるのは望ましくありません。私が持っている利点の 1 つは、ログイン フォームがモーダルで開くため、有効期限が短い新しいトークンを毎回生成できることです。セキュリティを確保するために他に必要なパラメーターは何ですか? セッション ID を含めた場合、両方のサイトがそれを理解できますか?

ALERT : ある種の CSRF 保護が必要なので、Symfony アプリのログインページで無効にすることを提案しないでください :)

codeigniter ブラケットを使用したフォームがあります

送信すると、次のエラーが表示されます

ではありません alwaysが、しばしば...

非表示の入力フィールドがフォーム内に存在する場合でも:

これは同様のフォーム（サインイン）でも発生します

編集: フォーム経由で生成された html

私はこのコードでレールにAJAX POSTリクエストを作成していました:

csrfトークンを挿入するのを忘れていたので、作成アクションが失敗すると思っていました:

ただし、データベース内のレコードは作成されましたが、リクエストは 500 エラーで終了しました:

私はcsrf保護を無効にしていないので、トークンの欠落に関するエラーが発生するはずでしたが、そうではありません...

編集：

私が持っている2つの答えを読んだ後：

• jquery_ui ファイルを削除しました

このコードを追加して、csrf トークンの jquery_ui 関数を置き換え、devise の auth_token も設定します。

before_file authenticate_user を削除しました! コントローラーから削除し、current_user に関連する create アクションを別のものに置き換えました。

次に、CSRF保護を無効にしましたが、まだ同じエラーが発生しています...したがって、問題は別ですが、レコードがデータベースに正しく作成されているため、二重リダイレクトの原因を本当に理解できません...

設定ファイルで設定csrf_tokenした場合false、すべてが機能します。ただし、の場合、グリッドcsrf_tokenはtrueデータベースからのみデータを取得できますが、更新などはできません。

このサイトの Сodeigniter+jqGrid に関する投稿を調べていますが、どうすればよいかまだわかりません。

の値を取得できますがcsrf_token、どこに含める必要がありますか?

すべてのブラウザでCSRFトークンが無効なエラーである理由をデバッグするにはどうすればよいですか？機能テストで同じフォームをテストすると機能しますか？

ログインとクロスサイト リクエストのフォアグリーの間に何らかの関係があるかどうか疑問に思っていましたか? 私の質問は、ログインを必要としないが、それでも CSRF から保護する必要があるサイトはありますか? 例を挙げていただけますか

csrf トークンの生成を使用して Web アプリケーションを保護することに興味があります。私の質問は、クエリ パラメータまたは http ヘッダー x-csrf-token を使用して、そのトークンをサーバーに送信する方法です。

そして、違いは何ですか