CI自带的CSRF 在这种情况下是否就没作用了?
如果是整个站用Session检测登录状态的情况下(并非像普通站点暴露在外可直接访问的),那么CSRF是不是就没有必要加了呢?(前提是登录后也全部都是内容,没有提交表单)以上一直有点困惑~有大神解答下吗?
CSRF 是保護所有有關 <form> 的送出
如果完全沒 <form> 或是 Ajax
是可以不用 Closer 发表于 2015-7-14 12:09
CSRF 是保護所有有關的送出
如果完全沒或是 Ajax
是可以不用
谢谢,那如果是所有的form都是在检测Session登录的情况下才可操作,是不是也不会有影响呢?(默认这些能登录的人都是可靠的)
理论上是的!
页:
[1]