好的,所以我想要做的似乎是跨站点攻击 - 打败CSRF令牌的目的,但这里有需要:我有一个Symfony应用程序站点(app.timo.in)和普通的PHP主页web-app(www.timo.in)。我希望允许注册访客从主页登录。
信息:应用&主页在同一个域(timo.in)
一个可能的选择是根据双方都能理解的sharedSecret生成一些其他令牌。我不希望令牌过早到期。我的一个优点是登录表单以模态打开,因此每次都可以生成一个新的令牌,有效期很短。 我需要什么其他参数才能确保安全? 如果我包含会话ID,两个网站都会理解吗?
ALERT :我需要某种CSRF保护,所以不建议在Symfony App的登录页面上禁用它:)