У меня есть веб-приложение, которое разделяется на два отдельных модуля (клиент и сервер). На сервере установлены службы REST и клиентские службы REST для получения данных. Я хочу, чтобы сервер был защищен от атак CSRF. Таким образом, любой клиент POST/PUT/DELETE требует передать токен csrf в заголовке, а значение токена должно быть равно csrfToken, сохраненному в сеансе. Мой вопрос в том, что маркер csrf генерируется сервером, как клиентское приложение может получить значение токена?
Если клиент после входа в систему отправляет запрос GET, сервер генерирует токен csrf, он сохраняет его как атрибут сеанса и отправляет его обратно клиенту в ответ или является лучшим решением?Передача токена csrf в клиентское приложение
ответ
его до вас, что вы хотите, если хотите клиентскую сторону csrf или нет?
CSRF токен всегда создается на целевой странице или Первый запрос пользователя в черном ящике логике серверных серверной ...
стороны клиента означает, что если JSP, то вы можете легко писать код, потому что JSP в ServerSide и все ПРЕИМУЩЕСТВА как программист, которого мы знаем ...
Если в приложении мы используем фреймворк js или js [например, extjs, dojo взял комплект, angularjs, yui или любой другой], и наш взгляд выглядит как .html-файл, тогда я чувствую, что мы идем с целевая страница ....
целевая страница означает первую страницу ... или если мы используем ajax, тогда сначала запрос ajax от пользователя к серверу когда пользователь нажимает на наш сервер ...
с помощью первого запроса или целевой страницы ajax вы можете сгенерировать один токен и сохранить в сеансе как токен csrf после этого всего сеанса этого пользователя, вы должны проверить токен csrf, записав фильтр. .
фильтр должен проверить сеанс пользователя не утратившим пользователю войти в систему пользователя и разрешения на базу вашего приложения и сессии, CSRF токен ...
так, как каждый новый пользователь должен иметь, чтобы пройти с вашей целевой страницы [страница входа] и получил один сеанс на стороне сервера, поэтому любой фиктивный запрос не разрешен и один уровень безопасности у вас есть
Enjoy :)
Вопрос заключается в том, как разделить токен, созданный на странице пользовательского интерфейса, с помощью приложения REST. Как стратегия сеанса с одним и тем же пользователем открывает две разные вкладки в браузере? Что касается стратегии ajax, можно создать форму для отправки этого Ajax-запроса с вредоносного сайта. – 11thdimension
Для этого нужно разработать логику .. Я работаю с приложением REST .. для этого нужно применять логику для создания токенной строки ... вы также можете применить весеннюю безопасность с приложением для отдыха – Minesh
Я не понял ваш последний комментарий, однако как бы весна безопасности делиться своим токеном CSRF с отдельным приложением пользовательского интерфейса? Предположим, что он работает на nodejs (Expressjs). – 11thdimension
- 1. Клиентское приложение и аутентификация/проверка токена OAuth
- 2. Передача токена CSRF от Node.js до Django
- 3. Передача ASP.NET MVC токена CSRF с $ http в AngularJS
- 4. Ошибка токена CSRF (express.js)
- 5. CSRF Назначение запроса токена
- 6. Генерация токена CSRF
- 7. Преимущества одноразового токена csrf
- 8. Атака токена Php csrf
- 9. Сохранение токена CSRF sailsjs
- 10. CSRF Ошибка после отправки правильного токена CSRF
- 11. Получение токена csrf в форме
- 12. Переименовать переменную токена csrf Spring
- 13. Получение токена CSRF через AJAX
- 14. Передача CSRF токена через $ .ajax() данные не работают
- 15. Возможная причина CSRF токена рассогласования в Laravel
- 16. Клиентское приложение Asp.NET MVC
- 17. Клиентское многопоточное приложение REST
- 18. Веб-сервис Клиентское приложение
- 19. Клиентское приложение Xmpp в asp.net
- 20. Передача токена клиенту
- 21. Длина в байтах для токена CSRF
- 22. Постоянное отклонение токена CSRF в Rails-приложении
- 23. Насколько тесная проверка токена CSRF в форме?
- 24. относительно реализации токена CSRF в GuestPayment
- 25. Нет токена csrf для веб-страницы Django
- 26. Разработка. Не удается проверить подлинность CSRF-токена
- 27. Генерация токена CSRF для приложения Rich Ajax
- 28. Предотвращение уязвимостей CSRF, альтернативных методов для токена CSRF
- 29. Django: сброс пароля без токена CSRF
- 30. HttpHiddenMethodFilter вызывает двойную проверку токена csrf
Защита CSRF не имеет никакой цели в протоколе REST. – holmis83
@ holmis83 https://www.owasp.org/index.php/REST_Security_Cheat_Sheet#Protect_against_cross-site_request_forgery – sp00m
@ sp00m На этой странице много chaddle. Однако, возможно, я неправильно понял значение ОП «ОТДЫХ». – holmis83