CSRF-System: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „sourceDESK verfügt über ein CSRF-System, dass die Benutzer vor Cross-Site-Request-Forgery schützt. Alle POST-Requests müssen zwingend einen CSRF-Token enth…“) |
(kein Unterschied)
|
Version vom 5. Oktober 2018, 23:23 Uhr
sourceDESK verfügt über ein CSRF-System, dass die Benutzer vor Cross-Site-Request-Forgery schützt. Alle POST-Requests müssen zwingend einen CSRF-Token enthalten, Ausnahmen können über den Hook:SkipCSRF definiert werden.
Inhaltsverzeichnis
CSRF-Token erhalten
In PHP erhalten Sie den CSRF-Token mit folgendem Methodenaufruf:
$token = CSRF::raw();
In Smarty können Sie den Token mit folgender Funktion ausgeben lassen:
{ct}
CSRF-Token in Form einbinden
Das System kann Ihnen direkt ein Hidden-Form-Element (<input>
) generieren. In PHP erhalten Sie das Element wie folgt:
$input = CSRF::html();
In Smarty kann das Form-Element wie folgt ausgegeben werden:
{cf}
Automatische Form-Anpassung
Das System versucht automatisch, POST-Forms zu erkennen und das Hidden-Form-Element einzufügen.
Verwendung bei Ajax
Wenn Sie Ajax verwenden, muss der CSRF-Token auf jeden Fall manuell eingebunden werden. Sie erledigen dies bspw. in Smarty mit jQuery wie folgt:
$.post("url", { "action": "123", "csrf_token": "{ct}", }, function (r) { // ... });