Preguntas con etiqueta 'csrf'

preguntas con etiqueta
1
respuesta

¿Cómo funciona el token XSRF por solicitud? (Solución angular)

Quiero proteger mi aplicación contra XSRF. Aunque realmente no pude entender cuál es el problema y cómo funciona mi solución, después de algunas investigaciones se me ocurrió una solución que utiliza Angular. Hasta donde llegué, mi solución requ...
hecha 14.06.2016 - 19:03
2
respuestas

CSRF en la arquitectura de microservicio

¿Cuál debería ser la forma correcta de implementar la protección CSRF en la arquitectura de microservicio? Donde los servicios son apátridas. ¿Para poner la verificación CSRF en la entrada del sistema? p.ej. Puerta de enlace Con esta op...
hecha 13.02.2017 - 15:58
1
respuesta

¿Puede la autenticación JWT actuar como un mecanismo anti-CSRF?

En la aplicación de página única Angular (Angular + REST API) uso la autenticación JWT . Asumamos que los tokens JWT se generan correctamente y son realmente aleatorios (no se puede predecir). ¿Es este token JWT suficiente protección contra...
hecha 09.01.2018 - 11:35
1
respuesta

CSRF con encabezados de OAuth o Autorización de portador

Estoy diseñando una API RESTful a la que se puede acceder desde un navegador web. La API está protegida por autenticación básica. Entiendo el concepto de CSRF y las mitigaciones propuestas (encontré entrada de Wikipedia en CSRF y OWASP CSR...
hecha 13.03.2013 - 19:00
1
respuesta

Protección CSRF - 'páginas posteriores'

OWASP sugiere que al implementar la protección CSRF cualquier intento de "retroceder" en el navegador causará problemas, ya que la interacción con esta página anterior dará lugar a un evento de seguridad falso positivo CSRF en el servidor....
hecha 15.04.2013 - 02:00
2
respuestas

¿Las aplicaciones web basadas en WebSocket (por ejemplo, las aplicaciones "comet") tienen que preocuparse por CSRF?

El consejo estándar para las aplicaciones HTTP que desean evitar la falsificación de solicitudes entre sitios es incluir un token aleatorio en cada solicitud de cambio de estado (generalmente POST) que verifica el servidor antes de permitir el c...
hecha 18.05.2013 - 15:35
2
respuestas

CSRF: valor aleatorio o HMAC

He visto varias implicaciones de tokens CSRF: El primero usa tokens CSRF generados aleatoriamente que usa un Generador aleatorio fuerte criptográfico para generar el token. La segunda implementación que encontré usa HMAC que encripta la id...
hecha 25.02.2014 - 16:40
2
respuestas

¿Cómo funcionaría la sustitución de tokens de portador con HMAC en OAuth 2.0, y cómo se validaría el cliente / servidor?

Esta clase de Pluralsight analiza los tokens del Portador , y que una de las cosas que faltan en OAuth 2.0 es la validación basada en HMAC. En otros lugares de los blogs de thinktecture, se llaman tokens PoP (Prueba de Posesión) La validació...
hecha 10.08.2016 - 05:47
1
respuesta

¿Devuelve Access-Control-Allow-Origin: * debilita la seguridad de las respuestas JSON GET?

La recomendación CORS del W3C dice:    Ciertos tipos de recursos no deben intentar especificar   determinados orígenes autorizados, sino que denegar o permitir   Todos los orígenes.       ...       3. Una respuesta GET cuyo cuerpo de enti...
hecha 16.10.2013 - 12:23
2
respuestas

Qué usar como 'estado' en el flujo de trabajo OAuth2 Authorization Code Grant

Estoy usando la protección csrf en mi aplicación web. Ahora estoy planeando desencadenar un flujo de trabajo de concesión de código de autorización OAuth2, comenzando con una plantilla estática abierta en una nueva ventana del navegador usand...
hecha 30.10.2015 - 16:40