2.0的表单内建CSRF保护阻止ajax请求

super250 · 发表于 2011-4-2 07:55:34

刚接触这两个东西不久，2.0添加了表单辅助函数内建CSRF保护
也就是$config['csrf_protection'] = TRUE;这个配置打开以后，会在cookie里面加一个token，这时候使用ajax请求服务器的页面，例如登陆页，就会返回500错误，，我对ci的用法了解的不多，请教一下这种情况应该做什么样的处理，既能有CSRF保护又可以让服务器通过ajax请求。
多谢~

huboo82 · 发表于 2011-4-2 11:43:40

http://ericlbarnes.com/blog/post ... rotection_with_ajax

super250 · 发表于 2011-4-2 11:59:21

谢了，就是说实际上ci校验csrf实际上就是连同表单一起post token了，其实和我们之前自己定义一个hidden再post回来校验是一个道理吧。不过好像csrf就是黑cookie用的，ci把token写在cookie里不是会继续中招？底层知识不足，纯属猜测，见笑

jiekii · 发表于 2011-6-20 17:39:05

c361239752 · 发表于 2011-8-1 12:59:43

提示: 作者被禁止或删除内容自动屏蔽

zfm1988 · 发表于 2011-9-5 09:20:40

对这个，用cookie的确有这个概率，只是可能性比较小了。把cookie改成session 会好点。
http://www.qinbin.me/phptoken/

coderboy · 发表于 2011-9-5 10:06:46

本帖最后由 coderboy 于 2011-9-5 10:31 编辑

现在有那种灌水机器人可以伪造session和cookie，每次做投票的时候都被人做票，只能手动去修改key，只要是页面生成通过http请求发送的，都能被模仿，如果谁有好办法，请分享

yunnysunny · 发表于 2011-9-5 10:15:09

第一，类似chrome和firefox这些浏览器是不允许跨域提交ajax的。
第二，cookie是可以伪造的。感觉CI用cookie来验证请求的来源，安全系数不是很高。

阿咘 · 发表于 2011-12-18 22:36:03

正在犹豫中。。。

阿咘 · 发表于 2011-12-18 22:40:27

刚想到一个方法，应该挺不错
还是用ci的csrf
但把HASH值付给cookie
然后把hash 通过密钥付给input
如果想破解就要先破解密钥

		自动登录	找回密码
密码			入住 CI 中国社区

c361239752 c361239752 当前离线积分 409 IP卡狗仔卡头像被屏蔽	发表于 2011-8-1 12:59:43 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
c361239752 c361239752 当前离线积分 409 IP卡狗仔卡头像被屏蔽
	回复支持反对使用道具举报显身卡

[HELP] 2.0的表单内建CSRF保护阻止ajax请求

评分