CSRF защита друпал хостинг

У меня есть некоторые скрипты PHP POST, что мне нужно для защиты от CSRF атак и имеют несколько вопросов:

1) Если я отправить POST запросы на PHP с помощью JQuery без HTML формы, просто получать значения непосредственно из HTML-элементов и отправить их с помощью JQuery, я до сих пор под угрозой CSRF?

2) Когда пользователь входит в сайт, хранить их уникальный маркер в переменной сеанса. В сценарии PHP POST проверить, если эта переменная сеанса устанавливается и имеет такое же значение, я поставил перед тем. Разве этого не достаточно? зачем он нужен для маркеров, чтобы включить в HTML-форме, а?

CSRF защита друпал хостинг, который соответствует один в

спросил 15 Nov '14 в 23:43

  1. Да. Это не имеет значения, как вы строите запрос, злоумышленник может построить один таким же образом. (В теории можно сделать особенности сложного запроса (который вызвал бы предполетный запрос CORS) является обязательным, так что другой сайт не мог получить браузер пользователя, чтобы дублировать весь запрос, но я не хотел бы зависеть от того) ,
  2. нет

Точка маркеров, чтобы проверить, что страница, которая содержит код, ответственный за принятие решения, что происходит в запросе (т.е. форме или JavaScript) страница на вашем сайте.

Если форма (или JavaScript) может прочитать маркер (который соответствует одному в сессии) из HTML страницы и поставить его в запросе, то вы знаете код, который построен запрос с вашего сайта.

Если вы просто убедитесь, что он находится в сессии, то все, что вы проверяете, что пользователь вызвал токен генерироваться (который, как правило, просто означает, посетив любую страницу на вашем сайте ... который может быть в скрытом фрейме).

ОК. как насчет если злоумышленник имеет JS, который может включать в себя фактическую ФОРМУ HTML с моего сайта в скрытый IFRAME. Я видел это в другом примере, не будет ли лексема быть включены в форму, если пользователь посещает веб-сайт злоумышленника при входе в систему? В этом случае запрос будет Аутентичные как маркер там в форме и в сессии или я что-то отсутствует? - Майкл Сэмуел 15 ноября '14 в 23:58

Нет, если вы поместите рамку внутри формы, поля страницы, загруженной в кадре, не будут включены в данные формы. Вы не можете прочитать данные между доменами через рамку с JavaScript (если сайт совместно не работает с PostMessage, который не будет). - Квентин 16 ноября '14 в 0:02

Да, это по-прежнему небезопасно

Маркер CSRF должен быть свеже генерируется маркер каждый раз, можно создавать формы. Оно должно быть уникальным и непредсказуемым для каждого запроса. Маркер сеанса устанавливается от входа является уникальным только для всего вошедшего сессии.

И если вы не размещаете сгенерированный маркер для проверки, где вы это проверить? Вы сопрягать маркер сеанса с. Причина в том, что вы можете дать людям возможность сделать запрос подлог, если маркер не передаются с самим запросом, но все проверки делаются сессии / печенье. Если вы только проверить сессию он не делает ничего против CSRF. Он должен быть отправлен в самом запросе и проверяется, соответствует ли это сеансу. При создании уникального маркера для каждого запроса, плохие парни не могут подделать чью-то просьбу.

Защита от CSRF друпал хостинг браузер

ответил 15 ноября '14 в 23:55

Посмотри это видео!

Статьи по Теме

Drupal хостинг с SSLHTTPS протокол, который шифрует HTTP запросы и их ответы. Это гарантирует, что если кто-то в состоянии поставить под угрозу сети между вашим компьютером и сервером вы запрашиваете ...
AEGIR Друпала услуги хостингаВыбор Drupal хостинг может быть сложной задачей, если вы не уверены в том, что доступно для вас. В некоторых случаях может быть хорошо с чем-то вроде общего хостинга, что Hostgator или ...
Изменить префикс таблицы друпали хостингУ меня есть Друпал 7 сайт работает на веб-сервере, то в настоящее время использует базу данных, которая была создана с из префикса. Я пытаюсь восстановить эту базу данных на новый Друпал экземпляр из ...
Miglior хостинг Drupal темыЧто такое Drupal? Drupal является открытой платформой управления контентом источника, который можно скачать и использовать бесплатно. Она состоит из основной группы файлов, которые являются стандартными для всех установок, ...
COMBELL друпал хостинг икDrupal легко Если вы решили, что это система управления контентом вы хотите использовать, чтобы создать свой сайт, почему бы не использовать свой собственный идеальный веб-адрес с ним? Получение вашего сайта ...