Hello stackoverflow社区,
我在谷歌搜索了一个方法来保护我的网站HTTP POST请求免受csrf攻击,我找到了OWASP CSRF Protector项目,我放置了页面链接,万一有人不知道是什么:click here来检查在git reposity。我跟着指南,因为上面的页面的作者解释但似乎没有工作因为我不能成功地做一个ajax请求,我没有任何错误信息来理解出了什么问题。
总而言之,我下载了OWASP CSRF Protector库,我在配置文件中放置了CSRFP_TOKEN,并且在每个页面的每个页面开头都有以下代码:
<php
include_once __DIR__ .'/libs/csrf/csrfprotector.php';
//Initialise CSRFGuard library
csrfProtector::init();
?>
有谁知道我应该做什么,也许可以将这个csrf标记附加到每个表单,创建一个SESSION以及如何做这样的事情。
PS-&GT;令牌可以是静态的,还是我需要动态更改它
提前谢谢!
答案 0 :(得分:0)
您可以按照此处的步骤使用CSRF Protector:
请注意,您需要编辑config.php文件中的jsUrl以指向放置csrfprotector.js的路径
示例 &#34; jsUrl&#34; =&GT; &#34; CSRF protection: do we have to generate a token for every form?的 YOU_PATH_TO_XCSRF /xcsrf/vendor/owasp/csrf-protector-php/js/csrfprotector.js"
您可以执行每个会话令牌或每个表单令牌,有关详细信息,请参阅此问题中的答案: {{3}}