Hogyan kell használni a tokeneket CSRF
Ha elfogott forgalomarányt nem segít. ott belépés és jelszó zasvyatyatsya. És az SSL nem fog segíteni, ha az ember a közepén használható. Nézzük akkor is használhatja az egyszeri jelszavakat. És nem érdekel, hogy az ügyfél nem kényelmes (a token, amely különbözik minden rekvest ez a „viszlát használhatóság”, nyissa meg webhelyét két Tabah, mind a különböző jelzőket, melyik igaz?)
Ahhoz, hogy létrehoz egy új tokent minden kérés hibákat okozhat megnyitásakor egy weboldal több lapon vagy Ajax kérés (aminek hatására a generáció egy új token).
Ha egy támadó elfogja a forgalom, a CSRF nem segít, mert az adatok olvashatók. HTTPS használata elleni szaglászás.
A token elég, hogy egy-ülésen. meg kell mutatnunk az üzenet: „Hiba történt a token mismatch. Kérjük, ellenőrizze az adatokat, és küldje el újra az űrlapot. "
Természetesen meg kell mutatni egy üzenetet a kitöltött adatokkal, nem egy üres strnaitse.
GET-forma, anélkül, hogy a változásokat az adatbázisba, így a keresési űrlapot, nem kell védeni.
Nézze meg, hogyan hajtják végre freyvorkah. Például symfonyban Yii, stb
Jellemzően, a logika a következő: az az intézkedés, hogy a vezérlő, hogy ellenőrizze a formában -, ha a POST (értem megőrzése formájában), majd ellenőrizze a token. Ha a token nem egyezik, akkor csak nem tárolja az adatokat, és ugyanolyan formában, de egy hiba „Érvénytelen token.
És a jelzőket gyakran használt formája az adatok mentésére. Kereséséhez formák nem lát okot, hogy használja őket.
Logikus, hogy keresni Természetesen nem. De az alkalmazás nagy és alkot egy csomó, így én ellenőrizni BasicController, majd megkülönböztetni POST keresés más tevékenység nem olyan egyszerű feladat. Sőt még a „Ne keressen” átirányítás F5 404 nem hiszem jó ötlet. Különös, hogy ez az összes Hyde CSRF ajánljuk.
> Csak ne tárolja az adatokat
Nos alapvetően én majdnem. A BasicController tisztít adatokat POST, és megjeleníti egy üres forma. De ez nem túl szép. Gondolat lehet néhány _pravilnoe_ döntést.