我有一个使用Bolt(http://bolt.cm)构建的网站,该网站在主域上运行(我们称之为www.domain.tld)。我想创建一个可以安装在子域上的Laravel应用程序(让我们称之为formengine.domain.tld)。此应用程序将用于处理主站点的表单,并发送电子邮件。
问题是,我该如何确保安全?由于这两个应用程序不同,我如何在主站点上获得CSRF令牌?
目前,我知道我将使用推荐人检查,以便人们不仅可以从其他网站随时发送表单,也可以通过API手动发送表单。我甚至可以添加一个X-FormPassword参数,其中密码由Bolt根据一组特定的模式和规则随机生成,发送到Laravel应用程序并进行解码。如果正确,它将允许发送表单。
但是,这就是我现在所能想到的。如果我不能使用CSRF令牌,是否有更好的方法?
谢谢,
迈克
答案 0 :(得分:1)
是的,所以CORS似乎就是答案。如果我愿意,我可以添加更多保护,但我认为这是要走的路。