Tag: csrf

关于配置和启动API服务器的实用指南-完美: 有很多方法可以配置和启动Perfect Server。本指南介绍了用会话，路由，过滤器和日志记录配置Perfect服务器的最佳实践。届会如果我们计划在服务器端Swift上进行会话，则需要在启动服务器之前对其进行配置。这是我的示例配置，可以根据您的需求进行自定义：另外，我们需要调用let sessionDriver = SessionMySQLDriver()来配置会话过滤器，并使用purgeInterval来清除停滞的会话。 CORS 为了使您的API与单页面应用程序（react，vue.js或Angular）一起使用，我们需要配置跨域引用共享（CORS）。您可以在此处阅读有关CORS的信息：跨域资源共享（CORS）跨域资源共享（CORS）是一种使用其他HTTP标头让用户代理获得…的机制。 developer.mozilla.org 以下是CORS配置的工作示例。启动服务器之前，我们可以在主目录中调用CORS.configure() 。确保定义了所有自定义的HTTP标头和可接受的主机名，否则将不接受Web客户端使用您的api！ 👈 CSRF 跨站点请求伪造（CSRF）是一种攻击，它迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。 CSRF攻击专门针对状态更改请求而不是数据盗窃，因为攻击者无法看到对伪造请求的响应。您可以在此处阅读有关CSRF的信息：跨站请求伪造（CSRF）– OWASP 跨站请求伪造（CSRF）是一种攻击，迫使最终用户在Web应用程序上执行不需要的操作… www.owasp.org 为了避免CSRF攻击，我们需要配置服务器。以下是可以根据需要自定义的示例。我们可以在启动服务器之前在主目录中调用CSRF.configure() 。模式初始化由于我们需要会话和数据库连接，因此需要在启动服务器之前对其进行配置。我们可以将数据库，SMTP，会话等的所有配置都放在JSON并使用它来配置我们的服务器。我们可以有针对不同环境的配置。以下示例显示了如何为macOS和Linux不同地配置服务器：典型的配置文件如下所示：然后，我们可以像下面这样设置DB ， session和SMPT配置： let opts = initSchema(fname) 这还会返回启动服务器时将使用的baseURL ， httPort …。 […]

IOS原生应用程序registry上的CSRF保护？: 我有一个使用Django作为后端的网站。我现在正在开发一个IOS应用程序连接到相同的后端。我打算使用Oauth2身份validationlogin和之后。但是，我只是不知道该怎么做的registry格。 registry单将POST数据，如电子邮件，用户名和密码。由于该应用程序没有csrf标记，因此会出现403错误。如果我在注册视图上执行csrf_exempt，我不知道它有多安全。我search现有的问题stackoverflow，但发现相冲突的答案。有人说在登记表上需要csrf保护，有些人则说这不是必需的。我想问一些问题。 1）获取这种registry格的最佳做法是什么？ 2）如果需要csrf保护，那么如何实现呢？如果有人能指出正确的方向，应该怎样做才能保证registry的安全以及最佳实践是什么，我真的很感激。谢谢。