Änderungen

Wechseln zu: Navigation, Suche

CSRF-System

1.246 Byte hinzugefügt, 23:23, 5. Okt. 2018
Die Seite wurde neu angelegt: „sourceDESK verfügt über ein CSRF-System, dass die Benutzer vor Cross-Site-Request-Forgery schützt. Alle POST-Requests müssen zwingend einen CSRF-Token enth…“
sourceDESK verfügt über ein CSRF-System, dass die Benutzer vor Cross-Site-Request-Forgery schützt. Alle POST-Requests müssen zwingend einen CSRF-Token enthalten, Ausnahmen können über den [[Hook:SkipCSRF]] definiert werden.

== CSRF-Token erhalten ==
In PHP erhalten Sie den CSRF-Token mit folgendem Methodenaufruf:

<source lang="php">
$token = CSRF::raw();
</source>

In Smarty können Sie den Token mit folgender Funktion ausgeben lassen:

<source lang="smarty">
{ct}
</source>

== CSRF-Token in Form einbinden ==
Das System kann Ihnen direkt ein Hidden-Form-Element (<code><input></code>) generieren. In PHP erhalten Sie das Element wie folgt:

<source lang="php">
$input = CSRF::html();
</source>

In Smarty kann das Form-Element wie folgt ausgegeben werden:

<source lang="smarty">
{cf}
</source>

== Automatische Form-Anpassung ==
Das System versucht automatisch, POST-Forms zu erkennen und das Hidden-Form-Element einzufügen.

== Verwendung bei Ajax ==
Wenn Sie Ajax verwenden, muss der CSRF-Token auf jeden Fall manuell eingebunden werden. Sie erledigen dies bspw. in Smarty mit jQuery wie folgt:

<source lang="javascript">
$.post("url", {
"action": "123",
"csrf_token": "{ct}",
}, function (r) {
// ...
});
</source>