Michael Nitschinger’s Blog: Sicherung Lithium Forms

Michael Nitschinger hat einen neuen Beitrag in seinem Blog heute zeigen, wie man href=“http://nitschinger.at/Securing-Lithium-Forms“> mit der praktischen CSRF-Token direkt im Rahmen umgesetzt.

CSRF (Cross-Site-Request-Forgery) Attacken, indem willkürlich (Formular) Anfragen von einem Opfer. Normalerweise muss die empfangende Stelle (in unserem Fall der Controller, der die Formulardaten Prozesse) nicht wissen, wo die Daten herkommen. Die CSRF Schutz in Lithium soll dieses Problem auf eine elegante und sichere Weise zu lösen. Sie können mehr über diese Angriffe hier . Beachten Sie, dass Sie benötigen, um die neuesten master Branch des Lithium-Klon, wenn Sie es ausprobieren wollen nun.

Es gibt zwei Teile, um den Schutz, eine auf jeder Seite der Dinge – ein Feld in der Form Ausgang und einen Scheck in der Steuerung zu sehen, ob der übermittelte Wert korrekt ist. Er enthält Code für ein einfaches Formular (ein Titel, Feld-und Submit-Button), die faul Lasten der Sicherheit Helfer und generiert das Token für Sie. Er geht durch den Controller-Seite der Dinge eine Linie zu einer Zeit und umfasst eine Stichprobe Protokollierung / Spedition Bit im zweiten Beispiel zu, wenn der Anwender überprüfen CSRF nicht passieren umzuleiten.

PHPDeveloper.org

Schreibe einen Kommentar