ID Server verlangt nach Referrer

televotia
refferer
id-server
Tags: #<Tag:0x00007fc1879e03e0> #<Tag:0x00007fc1879e0250> #<Tag:0x00007fc1879e00c0>

#1

Der ID Server wirft bei einem fehlenden HTTP Referer Header einen Fehler. Die Verwendung dieses Headers als Massnahme gegen CSRF ist aber unsicher, da der Header beliebig gesetzt werden kann. Stattdessen sollte ein CSRF Token generiert werden. Das würde dann auch die Anmeldung ohne Referrer ermöglichen.

[details=Fehlermeldung]
Forbidden (403)

CSRF verification failed. Request aborted.

You are seeing this message because this HTTPS site requires a ‘Referer header’ to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable ‘Referer’ headers, please re-enable them, at least for this site, or for HTTPS connections, or for ‘same-origin’ requests.

More information is available with DEBUG=True.[/details]


Content Security Policy implementieren
#2

Hallo Jowi

https://basisentscheid.piratenpad.de/PRT-2017-04-02

ich habe dein Feedback / Antrag an die kommende Televotia Sitzung eingereicht. Falls du willst kannst du gerne teilnehmen.