2.0的表单内建CSRF保护阻止ajax请求
刚接触这两个东西不久,2.0添加了表单辅助函数内建CSRF保护也就是$config['csrf_protection'] = TRUE;这个配置打开以后,会在cookie里面加一个token,这时候使用ajax请求服务器的页面,例如登陆页,就会返回500错误,,我对ci的用法了解的不多,请教一下这种情况应该做什么样的处理,既能有CSRF保护又可以让服务器通过ajax请求。
多谢~ http://ericlbarnes.com/blog/post/codeigniter_csrf_protection_with_ajax 谢了,就是说实际上ci校验csrf实际上就是连同表单一起post token了,其实和我们之前自己定义一个hidden再post回来校验是一个道理吧。 不过好像csrf就是黑cookie用的,ci把token写在cookie里不是会继续中招? 底层知识不足,纯属猜测,见笑 :o:o:o 对这个,用cookie的确有这个概率,只是可能性比较小了。把cookie改成session 会好点。
http://www.qinbin.me/phptoken/ 本帖最后由 coderboy 于 2011-9-5 10:31 编辑
现在有那种灌水机器人可以伪造session和cookie,每次做投票的时候都被人做票,只能手动去修改key,只要是页面生成通过http请求发送的,都能被模仿,如果谁有好办法,请分享 第一,类似chrome和firefox这些浏览器是不允许跨域提交ajax的。
第二,cookie是可以伪造的。感觉CI用cookie来验证请求的来源,安全系数不是很高。 正在犹豫中。。。:Q 刚想到一个方法,应该挺不错
还是用ci的csrf
但把HASH值 付给cookie
然后把hash 通过密钥 付给input
如果想破解就要先破解密钥
页:
[1]