DRUPAL中CONFRIMATION页面的意义是什么?

时间:2015-06-01 13:53:07

标签: drupal

这是我们尝试删除(它在各种其他事件上显示)来自CONTENT页面的一堆节点时显示的同一页面之一。

1 个答案:

答案 0 :(得分:-1)

这是关于跨站点请求伪造(CSRF or XSRF)。作为一名网络开发人员,我肯定知道这个术语,但却没有意识到它与“确认页面”的关联。

什么是跨网站请求Forgery(CSRF or XSRF)

CSRF是一种攻击,它强制最终用户(经过身份验证的用户)在没有他的意图的情况下执行某些操作。

CSRF攻击的Drupal场景

Drupal网站的大多数都有通过Webform实现的反馈表单。作为默认行为,Webform也会将反馈表单提交发送到电子邮件。

  1. 攻击者可以通过添加一些带有href参数的链接作为[http://www.examplesite.com/node/3/delete?destination=admin/content]
    2. 来欺骗此消息
  2. 现在经过身份验证的用户可能会点击邮件中的链接,而不了解href [http://www.examplesite.com/node/3/delete?destination=admin/content]的操作敏感度。
  3. 当用户意识到攻击时 - 已经点击了链接,由于[node / 4]已被删除并且显示[admin / content]页面,因此还原动作为时已晚。

    4. Drupal阻止CSRF

    的方法

    1. Drupal将秘密的TOKEN值与每个动作相关联。 ---我们可以在Drupal中找到[form_token]作为表单中的隐藏字段。

    2. 每当任何操作(例如删除节点)被发送到浏览器时,drupal站点也会将关联的TOKEN值发送到浏览器。

    3. 此TOKEN的重要性 - 这仅为用户和网站所知。攻击者很难欺骗TOKENS。

    4. 每当浏览器向网站发送任何请求时 - Drupal会根据操作验证TOKEN,然后只执行必要的操作。

    5. 如果此Action + Token验证失败,则操作会被拒绝。

相关问题
最新问题