В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Python Flask

817 membersпожаловаться на группу
2020 May 09

A

Alex in Python Flask
Подробней рекомендую прочитать здесь
https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
источник
15:17пожаловаться#1

V

Vlad in Python Flask
Alex
Подробней рекомендую прочитать здесь
https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
Спасибо, ща чаек надо заварить.
источник
15:18пожаловаться#2

V

Vlad in Python Flask
Alex
Если через заголовок, то дополнительная CSRF защита не нужна.
Видимо я какой-то момент упускаю, но не пойму какой
источник
15:18пожаловаться#3

A

Alex in Python Flask
Ну и непосредственно к CSRF это не относится, стоит озаботиться безопасным хранением токена.
источник
15:18пожаловаться#4

A

Alex in Python Flask
Vlad
Видимо я какой-то момент упускаю, но не пойму какой
CSRF — это атака, при которой злоумышленник заставляет браузер пользователя отправить нежелательный запрос на сайт, где этот пользователь аутентифицирован. Эта атака эксплуатирует свойство браузера отправлять запросы с соответствующими хранящимися в контексте этого ресурса куками.
Условием проведения данной атаки является аутентификация пользователя при помощи куки.
источник
15:26пожаловаться#5

A

Alex in Python Flask
Либо же какой-либо другой механизм аутентификации подразумевающий возможность браузером отправить аутентифицированный запрос, например аутентификация по IP адресу, Windows Domain и т.п.
источник
15:31пожаловаться#6

A

Alex in Python Flask
Подробнее читать здесь
https://owasp.org/www-community/attacks/csrf
owasp.org
Cross Site Request Forgery (CSRF) | OWASP Foundation
Cross Site Request Forgery (CSRF) on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
источник
15:31пожаловаться#7

A

Alex in Python Flask
Vlad
При авторизации закладывается в заголовок там и таскается
аутентификации
источник
15:33пожаловаться#8

V

Vlad in Python Flask
Alex
аутентификации
да, да, да)
источник
15:33пожаловаться#9

V

Vlad in Python Flask
Спасибо, повешу в рамку, гугл к сожалению увёл не в ту сторону.
источник
15:34пожаловаться#10

T

Tishka17 in Python Flask
А как вообще нормально бороться с csrf? Одноразовые токены или просто по времени? Как это работает в wtforms?
источник
15:49пожаловаться#11

A

Alex in Python Flask
Tishka17
А как вообще нормально бороться с csrf? Одноразовые токены или просто по времени? Как это работает в wtforms?
по первой ссылке выше что я давал описаны различные механизмы противодействия
источник
15:50пожаловаться#12

A

Alex in Python Flask
в случае классических сайтов чаще всего это токен, передаваемый обратно на сервер в форме.
источник
15:51пожаловаться#13

A

Alex in Python Flask
обычно не одноразовые.
источник
15:56пожаловаться#14

T

Tishka17 in Python Flask
Просто если он не одноразовый, надо чтобы у него был относительно маленький срок жизни. Или это уже другая тема?
источник
15:57пожаловаться#15

V

Vlad in Python Flask
новая форма = новый код, код генерится и вставляется перед выдачей формы
источник
15:59пожаловаться#16

A

Alex in Python Flask
Vlad
новая форма = новый код, код генерится и вставляется перед выдачей формы
с формой да, с куки — нет
источник
16:00пожаловаться#17

V

Vlad in Python Flask
Куку очень редко где видел
источник
16:00пожаловаться#18

A

Alex in Python Flask
Vlad
Куку очень редко где видел
ну без куки ты не сделаешь API или AJAX запросы.
источник
16:01пожаловаться#19

A

Alex in Python Flask
в том случае если API stateful, читай креденшалы в тех же куки передаются.
источник
16:02пожаловаться#20