8
Ajax ile gönderilen formlarla ilgili bir sorunum var. Formlarımı Zend Framework ile yapıyorum. Bazıları gerçek formlardır, bu yüzden bir Hash öğesi ekliyorum. Diğerleri küçük operasyonlar içindir (burada aşağı çekmek ve aşağı çekmek gibi), ben de onları bağlantılarla yapıyorum.CSRF belirteci
Sorunum, özellikle küçük formlar (bağlantılar) için ajax kullanmam gerektiğidir. Pek çok soru görüyorum ama sorunu çözmek için yeterince kapsamlı bir şey yok. Formlar ajax yoluyla gönderildiğinde csrf jetonunun nasıl düzgün bir şekilde çalıştığına dair ayrıntılı bir açıklama var mı? tercihen Zend Framework ile ama genel PHP cevapları da yardımcı olacaktır.
Bu sorudaki REQUESTED_WITH başlığını okudum http://stackoverflow.com/questions/3664044/anti-csrf-token-an d-javascript/3665136 # 3665136 ama Rook'un yorumları (ve cevabın kendisi) gerçekten güvenli olmadığını söylüyor. Eğer kullanırsam, sanırım hala ona "başka bir şey" eklemem gerekiyor. Senin düşüncen nedir? – samquo
@samquo haha SO güvenlik konusunda ismimin nasıl bir şey yaptığını seviyorum. Ancak, XRR için aynı kaynak politikası nedeniyle x_requested_ ile birlikte kullanılmazlığını kontrol ederseniz, doğrudur. – rook
BTW, REQUESTED_WITH'ye güvenmekten farklı davranışları incelemek isteyebilirsiniz: Rails ve Django'nun her ikisi de son zamanlarda, yeterli koruma sağlanamayan durumları hesaba katmak için güncellendi. İşte Django'nun güncellemeleri ile ilgili notları: http://is.gd/JLBrfL Zend ile bunu nasıl yapacağımı bilmiyorum :) Ancak CSRF ve AJAX'ı ararken bunu buldum. – Rob