CSRF保護drupalのホスティング

私はCSRF攻撃から保護する必要があり、複数の質問があり、いくつかのPHP POSTスクリプトを持っています:

私はちょうどHTML要素から直接値を取得する、HTMLフォームずにjqueryのを使用してPHPにPOSTリクエストを送信するとjQueryを使用してそれらを提出する場合は1)、Iは、CSRFの危険性ではまだですか?

2)ウェブサイトにユーザがログインすると、私は、セッション変数に独自のトークンを格納した場合。そのセッション変数が設定され、私が前に設定された同じ値を持っている場合、PHP POSTスクリプトでは、私は確認してください。それは十分ではないですか?トークンは、同様にHTMLフォームに含まれるため、なぜそれが必要とされていますか?

1つに一致するCSRF保護Drupalのホスティング

23:43で11月15日'14を尋ねました

  1. はい。それはあなたが要求を構築する方法は重要ではありませんが、攻撃者が同じように1を構築することができます。 (理論的には、別のサイトには、全体の要求を複製するために、ユーザーのブラウザを得ることができなかったように、あなたは、CORSプリフライトリクエストをトリガーする複雑な要求()の機能は必須作ることができますが、私はそれに依存したくないでしょう) 。
  2. ノー

トークンのポイントは、要求(つまり、フォームまたはJavaScript)に何が起こるのかを決定する責任のコードが含まれているページは、Webサイト上のページであることを確認することです。

フォーム(またはJavaScript)をページのHTMLから(セッションで1と一致した)トークンを読み、要求にそれを置くことができる場合は、リクエストを構築したコードは、あなたのサイトから来た知っています。

あなたはちょうどそれがセッションになっていることを確認した場合、その後、あなたがチェックしているすべてのユーザーはトークンが(通常は隠されたフレームであることができ、あなたのサイト...上の任意のページを訪れることを意味する)が生成される原因となったことです。

OK。どんな攻撃者が非表示のiframeに私のウェブサイトから実際のHTMLフォームを含めることができますJSを持っている場合について。ログイン中にユーザーが攻撃者のWebサイトを訪れた場合、私は別の例では、それを見てきました、トークンは、フォームに含まれていないのでしょうか?この場合、要求は、トークンは、フォームで、セッション中にありますか私は何かが欠けていて本物のでしょうか? - 午後11時58分にマイケル・サミュエル11月15日'14

フォーム内のフレームを入れた場合は番号、フレームによってロードされたページのフィールドは、フォームデータには含まれません。あなたはJavaScriptを使用してフレームを介してドメイン間でデータを読み取ることができません(サイトない限り、あなたはならないのpostMessage、との共同運営)。 - 夜12時02分で、クエンティン11月16日'14

はいそれはまだ危険なのです

CSRFトークンは、フォームを生成するたびに新鮮に生成されたトークンでなければなりません。これは、要求ごとにユニークかつ予測不可能である必要があります。ログインから設定されたセッション・トークンは、全体のログインセッションでのみ一意です。

そして、あなたは、あなたがそれをチェックしますかチェックするために生成されたトークンを、投稿しない場合は?あなたはとのセッショントークンを一致させます。理由は、トークンが要求自体に送信されない場合、あなたはまだ、人々にリクエストフォージェリを行うための可能性を与えることができるからであるが、すべてのチェックは、セッション/クッキーによって行われます。あなただけのセッションを確認した場合には、CSRFに対して何もしません。これは、要求自体に送られ、それはあなたのセッションと一致した場合にチェックする必要があります。あなたが要求ごとに固有のトークンを生成すると、悪者は誰かの要求を偽造することはできません。

にブラウザをホスティングCSRF保護のDrupal

23時55分で、11月15日'14答え

このビデオを見て!

関連記事

DrupalはSSLでホスティングHTTPSはHTTPリクエストとその応答を暗号化するプロトコルです。これがあれば、誰かがあなたのコンピュータおよびあなたが要求しているサーバー間のネットワークを危険にさらすことができたことを保証します...
エーギルのdrupalのホスティングサービスあなたはあなたに利用可能であるわからない場合はDrupalのホスティングを選ぶことは困難な作業となることができます。いくつかのケースでは、あなたはHostgatorのか、その共有ホスティング環境のようなものと罰金かもしれません...
変更テーブル接頭辞drupalのホスティング私はそれが現在の接頭辞外で作成されたデータベースを使用している、ウェブサーバ上で実行されているのDrupal 7サイトを持っています。私はから新しいDrupalのインスタンスにそのデータベースを復元しようとしています...
MigliorはdrupalのテーマをホスティングDrupalは何ですか? Drupalはダウンロードして無料で利用できるオープンソースのコンテンツ管理プラットフォームです。それは、すべてのインストールに標準装備されているファイルのコア・グループで構成されてい...
英国のホスティングCombellのDrupalのあなたはこれがあなたのサイトを作成するために使用するコンテンツ管理システムがあると判断した場合Drupalは簡単に、また、それを使用して独自の完璧なWebアドレスを使用しない理由は?あなたのウェブサイトを取得...