回答情况:
提问时间:
问题标签:
JWT在我的项目中用作用户身份验证。如果有人拦截数据包(使用wireshark等),获取用户的jwt令牌,然后尝试使用jwt令牌(重放攻击)记录请求,我如何使用jwt进行防御?
浏览 7提问于2022-09-16得票数 0
AFAICT --它使用加密的同步器令牌变体来验证令牌的有效负载。我想知道的是,这有必要吗?CSRF令牌应该提供重放保护吗?攻击不需要MitM或XSS漏洞吗?我某种程度上认为,长期失效是防御深度战略的一个合理部分,但我觉得奇怪的是,重播会被作为一个安全问题提出一个CSRF
浏览 0提问于2017-09-11得票数 2
回答已采纳
Django附带了,它生成一个惟一的每个会话的令牌,用于表单中。它扫描所有传入的POST请求以查找正确的令牌,如果该令牌缺失或无效,则拒绝该请求。我想对一些POST请求使用AJAX,但是这些请求没有可用的CSRF令牌。页面没有可以挂接的<form>元素,我不想弄乱标记,将标记作为隐藏值插入。我认为这样做的一个好方法是公开像/get-csrf-token/这样的脚本来返回用户的令牌,依靠浏览器的跨站点脚本规则来防止恶意站点请求令牌。
这是个
浏览 0修改于2013-07-23得票数 18
回答已采纳
webauthn提供服务器端的任何身份验证吗?或者不同的问题是,是否有任何防御措施来对抗假装是X站点的中间人攻击,对该站点执行看起来像webauthn登录,总是授予访问权限,而现在用户认为他们刚刚登录到站点X,却在和中间人交谈呢?(我知道中间人无法获得密码或令牌。)
浏览 0提问于2023-03-24得票数 0
回答已采纳
我有使用窗体身份验证的ASP.NET应用程序。用户通过身份验证后,将收到包含身份验证信息的表单cookie作为响应。现在关于表单cookie:它由机器密钥加密,并通过签名防止篡改。我也使用HTTPS。有什么方法可以防御这种攻击吗?
浏览 1修改于2014-04-28得票数 2
我网站上的所有表单都是使用令牌进行保护的。我已经知道了这种方法,但问题是它需要一个活动会话(即在用户登录之后)。登录和评论表单的问题是,几乎任何人都可以访问它们,并且不要求您登录--在这种情况下,什么才是防止CSRF的最佳保护措施?编辑:,以下是我上面提供的链接中的一些附加信息:
秘密验证令牌可以抵抗登录CSRF,但是开发人员
浏览 5修改于2013-03-26得票数 6
回答已采纳
LS,新用户可以通过index.html请求访问令牌。此令牌将发送到他/她的电子邮件。然后,必须将令牌粘贴到令牌字段中才能访问表单。验证令牌后,将显示表单。为了防止在插入正确的令牌之前访问表单的源代码,我希望在验证令牌之后进行缓存。我使用了服务工作者的标准最小注册、安装和激活。 <?> 如何才能将缓存延迟到令牌验证之后,即呈
浏览 10修改于2019-04-30得票数 0
当前,我的页面上有表单,不管用户是否登录,这些表单都在那里。一旦用户登录,他们就会收到其中一个表单(使用CSRF)。
CSRF令牌无效。请尽量重新提交表格。我想有三种解决方案--停止Symfony在身份验证中重新生成/使
浏览 0修改于2013-08-18得票数 12
回答已采纳
我想创建一个简单的用户注册表单与名字/姓氏,电子邮件和密码。我们在过去已经使用验证码和电子邮件验证来防御机器人,但是有没有其他不使用这些技术的方法?
浏览 1修改于2010-08-28得票数 0
回答已采纳
在创建黑名单功能时,作为我们针对SQL注入(包括参数化查询和输入长度和类型验证)的多管齐下的防御措施的一部分,我们创建了一个blacklist函数来检查来自.Net web表单的输入,以便在Server
浏览 0修改于2020-12-11得票数 0
回答已采纳
我正在构建一个api身份验证层,它基本上像安全cookie协议一样工作,在这里,我给api客户机一个令牌,它们必须在随后的请求中提供这个令牌,而不是cookie。该令牌是通过HMAC使用保存在服务器上内存中的秘密密钥进行签名的。键是一个64个字符的随机十六进制字符串。目前,我正在使用密钥直接对令牌进行签名,但基于我在rails源代码中看到的内容,他们使用一个通过使用pbkdf2扩展秘密密钥库派生的秘密密钥对cookie进行签名。这种防御方式是什么威胁?
浏览 0提问于2015-06-02得票数 0
回答已采纳
Cause:发现,如果验证失败,将导致令牌重置,如果表单被多次快速提交,有时会导致表单令牌和htmlsession令牌不同。(可能在加载页面之后,用于设置令牌的线程仍然从双重提交中运行,并在呈现jsp页面后在html会话中更改令牌)。这就是为什么每次提交失败验证之后,令牌验证都会失败的原因。
必须调整令牌的设置方式。我正在开发一个同时使用令牌和验证</em
浏览 1修改于2017-05-23得票数 0
回答已采纳
我有一个用CSRF令牌保护的表单。我不知道CSRF令牌的所有细节,但我听说它们对于表单安全性来说是很好的。当表单提交得太晚时,表单会给出一个错误,因此CSRF令牌似乎正在按预期工作。另一方面,当我使用ajax提交表单时,如何以验证普通表单的方式验证表单?我不认为我将有一个表单对象来验证。
在接受ajax调用时是否存在使用ajax?的风险,如何像<
浏览 3提问于2010-11-10得票数 1
我在春季看到了重复的表单提交问题。我想实现Struts中已经存在的东西,令牌验证器来检查重复的请求。在我目前的表单中,当用户提交表单时,它不是提交和重定向页面,而是进行两次JSON调用以进行验证,然后提交表单,从而为重复提交表单创造了范围。
我想使用令牌来验证每个请求
浏览 2修改于2012-06-07得票数 0
回答已采纳
生成和验证csrf令牌的最佳方式是什么?据我所知,即使你在"post“表单中有一个隐藏的表单字段,黑客也可以简单地使用ajax获取该表单,获取csrf令牌并向站点发送另一个提交表单的请求。如果我们要检查发送给我们的报头...则黑客可以简单地将csrf令牌发送到服务器侧脚本,该服务器侧脚本随后将仿真http报头。
那么如何实际生成和验证csrf令牌呢?
浏览 1提问于2011-05-12得票数 11
回答已采纳
我已经观察到了一些基于web的登录表单,它们在确认用户名和密码之后,在第二个表单上提供了2因素身份验证,做令牌条目。这将泄露是否任何给定的用户名都启用了2因素身份验证,但如果没有有效的令牌就无法确认有效的密码。
浏览 0提问于2014-04-10得票数 12
我知道CSRF实际上是如何工作的,它通常将随机文本存储在会话中,并在HTML表单的隐藏令牌CSRF字段中具有相同的内容。当用户提交表单时,HTML表单令牌分别匹配会话CSRF和validate。问题是,如果我刷新页面,将会生成新的CSRF令牌,并且在下一次刷新之前只有效一次。在这种情况下,如果我在新选项卡中多次打开相同的表单并提交后续表单,框架或任何人将如何在会话中存储令牌并验证它。它是存储最新的令牌</em
浏览 8提问于2017-12-29得票数 0
发行:场景:
加密的经过身份验证的令牌存储在cookie中&发送给客户端。当用户请求时,需要保存在cookie中的身份验证令牌的方法将被解
浏览 2修改于2013-09-20得票数 0
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号