0
我詢問this question關於使用Drupal 7的Forms API的原因,而不是僅僅處理表單提交請求,最終調用像node_save()或comment_save()這樣的函數。雖然使用Forms API有各種各樣的原因,但只有一個可能的安全漏洞被提出來了:由於不使用Drupal 7的Forms API,我錯過了它使用的CSRF預防技術。從我讀過的內容來看,這基本上涉及使用令牌來驗證請求。防止自定義AJAX表單提交中的CSRF
我的問題是雙重的:
- 是否有可能利用Drupal的CSRF預防令牌方法在我寫來處理Ajax請求的腳本,從而完全消除了額外的風險,我不使用假設Forms API?如果是這樣,怎麼樣?
- 表單API是否使用了我應該實現的令牌之外的技術?
請注意,我不希望這個問題成爲我是否應該使用Forms API的討論。