4
我想確保我正確理解並應用標記以避免CSRF?這是否需要完成以防止使用PHP和Ajax的CSRF?
在我的jQuery Ajax請求我的數據線:
data:{ Id:getParameterByName("id"), Token:"<?php echo $csfrToken; ?>" },
我處理該發佈的數據裏面的文件PHP檢查:
if (isset($_SESSION['TOKEN']) && $_SESSION['TOKEN'] == $_POST['Token']) { }
還有什麼我需要一個ajax做請求。我所做的只是在包含ajax請求的頁面上創建一個標記。然後,我將創建的令牌發佈到我的ajax處理程序頁面,然後檢查以確保它們相同。還有什麼需要做的嗎?
不,你把它覆蓋。有[更大的長度,你可以去](https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet),但從這裏開始收益遞減。 – Jon
這是CSRF,而不是CSFR。 – BoltClock
@jon - 非常感謝。 – Frankie