Articles of csrf

Comment append un jeton csrf dans le formulaire de soumission HTML

Mon site est actuellement sous protection csurf. J’ai atsortingbué tout mon appel ajax avec le jeton csrf comme ci-dessous “/data/someAPI?_csrf=”+ $(“#_csrf”).val et cela fonctionne très bien avec toutes les fonctions que j’avais. Mais maintenant, j’écris une fonction de téléchargement de fichier et la plupart des tutoriels sur Internet utilisent un formulaire sumbit pour le faire. […]

Est-ce une bonne pratique de stocker le jeton csrf dans une balise méta?

Si je fais une demande POST sans utiliser de formulaire et que je veux empêcher les attaques CSRF, je peux définir le jeton csrf dans une balise méta et le replacer dans l’en-tête lorsque la demande est déclenchée. Est-ce une bonne pratique? Remettez le jeton via l’en-tête, en utilisant JQuery par exemple: $.ajaxSetup({ headers: { […]

Django CSRF Token sans formulaires

Cela semble étrange, mais qu’en est-il du scénario affichant du contenu avec Javascript (par exemple AJAX) sans utiliser de formulaire (il est possible de lire plusieurs contenus à partir de la surface). Où devrais-je placer la balise de modèle csrf_token? J’ai déjà ajouté le correctif AJAX: https://docs.djangoproject.com/en/dev/ref/consortingb/csrf/#ajax … mais j’obtiens le message “La vérification de […]

Est-il possible de faire une demande POST ajax interdomaine d’application / json?

Je teste des éléments de csrf et je me demande s’il est possible de poster une requête ajax entre domaines avec Content-Type: application/json Chaque fois que j’essaie de faire cela avec jQuery: $.ajax({ type: “post”, url: “http://someotherdomain.com/endpoint”, contentType: “application/json; charset=UTF-8”, data: {“a”: “1”}, dataType: “json”, crossDomain: true, success: function(data){ alert(data); }, failure: function(data){ alert(data); } […]

Formulaire Symfony2 avec CSRF transmis via JQuery AJAX

Je développe une boîte de commentaires qui enregistrera le commentaire via un appel JQuery AJAX. JQuery Voici le code JQuery pour cela (cela fonctionne de manière transparente): $(“.post-comment”).click(function() { var $form = $(this).closest(“form”); if($form) { $.ajax({ type: “POST”, url: Routing.generate(‘discussion_create’), data: $form.serialize(), cache: false, success: function(html){ alert(“Success!”); // Output something } }); } else { […]

Cross domain ajax POST en chrome

Il existe plusieurs sujets sur le problème posé par AJAX interdomaine. J’ai examiné ces éléments et la conclusion semble être la suivante: Hormis l’utilisation de quelque chose comme JSONP, ou une sollicitation de proxy, vous ne devriez pas être capable de faire un jquery $ .post () basique vers un autre domaine Mon code de […]

Jeton d’authenticité de requête Rails 3 AJAX ignoré

Rails semble ignorer les jetons d’authenticité pour les requêtes AJAX. Par exemple, j’ai délibérément modifié mon appel AJAX pour le tester avec un jeton non valide et les requêtes semblent se dérouler normalement. L’application a la configuration par défaut pour utiliser le magasin de cookies de session et a l’appel protect_from_forgery dans ApplicationController. Des idées […]

Comment transmettre un jeton CSRF dans une demande de publication AJAX pour un formulaire?

J’utilise Scala Play! 2.6 Cadre, mais ce n’est peut-être pas le problème. J’utilise leur routage Javascript – et cela semble fonctionner correctement, mais il y a des problèmes. J’ai un formulaire qui produit ce résultat avec un jeton CSRF: Submit! Et voici à peu près, mon AJAX: $(document).on(‘submit’, ‘#myForm’, function (event) { event.preventDefault(); var data […]

Rails 3.1 – CSRF ignoré?

voici mon problème, J’ai une application rails 3.1 et j’essaie de faire une demande ajax mais le message d’avertissement “AVERTISSEMENT: impossible de vérifier l’authenticité du jeton CSRF”… Dans ma mise en page, j’ai la méthode d’assistance “csrf_method_tag” , et j’ajoute le code javascript suivant (je ne sais pas si c’est vraiment requirejs ou non): $.ajaxSetup({ […]

jQuery: la configuration du jeton CSRF pour Django ne fonctionne pas

ma fonction jQuery ressemble à $(function() { // activate “New” buttons if input is not empty $(‘form input[type=”text”]’).live(‘keyup’, function() { var val = $.sortingm(this.value); $(this).next(“button”).prop(‘disabled’, val.length === 0); }); $(“body”).on(“submit”,”form”,function(e){ // do not submit the form e.preventDefault(); // handle everything yourself var $form = $(this); var title = $form.closest(‘.video-detail’).find(‘.title’).text(); var entryTitle = $form.find(‘.input-small’).val(); console.debug(title); console.debug(entryTitle); […]