如何通过AJAX将OWASP CSRF Protector用于每个POST请求?
问题描述:
你好计算器社区,如何通过AJAX将OWASP CSRF Protector用于每个POST请求?
我在谷歌搜索的方法来保护我的网站HTTP POST请求的CSRF攻击,我发现OWASP CSRF保护项目,我把万一有人网页链接不知道是什么: click here检查git reposity。作为上述页面的作者解释,但我似乎没有工作,因为我不能使ajax请求成功,我没有任何错误信息,以了解什么错误。
最后,我下载了OWASP CSRF保护库,我把我的配置文件在开始每一页的CSRFP_TOKEN并在每个PHP页面下面的代码:
<php
include_once __DIR__ .'/libs/csrf/csrfprotector.php';
//Initialise CSRFGuard library
csrfProtector::init();
?>
有谁知道否则我应该这样做,也许将这个csrf标记附加到每个表单,创建一个SESSION以及如何做这样的事情。
PS->令牌可以是静态的或者我需要动态地改变它
预先感谢您!
答
您可以按照下列步骤进行使用CSRF保护:
https://github.com/mebjas/CSRF-Protector-PHP/wiki/How-to-use
请注意,你需要在config.php文件编辑jsUrl指向放置服务csrfprotector路径的.js
例 “jsUrl”=> “http://localhost/YOU_PATH_TO_XCSRF /xcsrf/vendor/owasp/csrf-protector-php/js/csrfprotector.js”
你可以做一个每会话令牌或每个表单令牌,看到这个问题的答案了更多的细节: CSRF protection: do we have to generate a token for every form?