Preguntas con etiqueta 'csrf'

preguntas con etiqueta
0
respuestas

¿Es seguro el token CSRF administrado a través de encabezados HTTP?

Estoy creando una protección CSRF en mi aplicación, y me pregunto cuál es la mejor (o mejor dicho, la forma menos segura) de transmitir mi token CSRF. La aplicación aplica HTTPS, con TLS1.2. Cuando genero el token en el lado del servidor, nec...
hecha 07.10.2017 - 23:35
1
respuesta

¿Cómo prevenir el ataque csrf (sin cookies)?

Este es un escenario del mundo real. Estoy tratando de proporcionar todos los detalles necesarios. Summary Un usuario cambia su IP con cada solicitud utilizando un navegador sin cookies. ¿Cómo puedo asegurar sus solicitudes de inicio de ses...
hecha 12.09.2017 - 01:56
0
respuestas

¿Es una buena práctica combinar las cookies y el almacenamiento local para proteger contra XSS y CSRF?

Sabemos que cookies con httpOnly y secure flag son inmunes a XSS y vulnerables a CSRF ataques. Y al mismo tiempo, sabemos que local storage es vulnerable a XSS , pero puede proteger contra CSRF...
hecha 01.09.2017 - 05:36
3
respuestas

CSRF no funciona en el proxy CORS

Estoy consumiendo los servicios OData de JQuery y me estoy ejecutando en un escenario típico de la misma política de origen. No tengo control sobre el servidor y, por lo tanto, no puedo implementar CORS, por lo que lo único que puedo hacer es us...
hecha 19.05.2017 - 21:19
1
respuesta

¿El uso de tokens CSRF como mecanismo de defensa bloquea todas las solicitudes de origen cruzado?

Estoy tratando de entender cómo se pueden prevenir los ataques CSRF. Por lo que he leído y entendido en línea, me parece que los tokens CSRF o el uso del encabezado de origen para la prevención de CSRF básicamente bloquean todas las solicitudes...
hecha 28.05.2017 - 22:38
0
respuestas

Agregar al carrito Token CSRF

Tengo tokens CSRF en todas partes en mi sitio de comercio electrónico que usan formularios POST. Sin embargo, no quiero iniciar una sesión (con una cookie) a menos que sea absolutamente necesario (principalmente porque estoy usando caché de barn...
hecha 08.06.2017 - 14:17
0
respuestas

¿Es posible hacer CSRF para la solicitud POST con un cuerpo XML?

Estoy probando una aplicación que envía datos XML como cuerpo en la solicitud POST. La aplicación no está utilizando ningún token CSRF ¿Hay alguna manera de realizar CSRF en este caso. XHR no funciona en los últimos navegadores, ya que bloquea l...
hecha 10.08.2017 - 14:25
2
respuestas

Solicitud del token CSRF a través de AJAX para la aplicación web de JavaScript [duplicado]

Tengo una aplicación web JavaScript que se comunica con una API en un subdominio diferente. El HTML y Javascript están todos alojados en S3. Un token CSRF convencional se coloca en el cuerpo de la página HTML y se usa por un form o s...
hecha 28.06.2017 - 14:35
0
respuestas

Al verificar el encabezado de Origen y Referente para la protección CSRF, ¿el esquema también debe coincidir?

Habría pensado que el nombre de dominio (incluido cualquier subdominio) hasta la barra diagonal final sería suficiente (como subdomain.example.com/ o subdomain.example.com:2082/ ), pero también he visto referencias a la verificación...
hecha 01.06.2017 - 02:48
0
respuestas

Flujo de código de autenticación de Oauth: generar el valor de “estado”

Estoy trabajando en el cliente implementando el flujo OAuth2 de "código de autenticación". Estoy tratando de encontrar la mejor manera de generar (y verificar) el parámetro "estado" para evitar ataques CSRF al flujo de inicio de sesión. No puedo...
hecha 22.06.2017 - 10:59