使用CSRF令牌PHP / Javascript将登录页面重定向到主应用程序页面

时间:2018-02-07 20:27:32

标签: javascript php csrf

我有一个登录页面(login.php),重定向到我的主页面(dashboard.php)。当用户将他们的电子邮件和密码POST到login.php时,我验证凭据,创建CSRF令牌,将其存储在会话中,然后重定向到dashboard.php。但是,在重定向时,dashboard.php正在对会话和CSRF令牌进行自己的验证。由于它是php中的重定向,我无法附加任何自定义标头来包含CSRF和dashboard.php重定向回login.php。我以为我可以用JavaScript处理这个问题,但是没有找到任何在JavaScript中重定向到另一个页面并在头文件中包含CSRF令牌的例子。我知道我可以使用CSRF令牌重定向GET变量,但这似乎不安全。

的login.php

<?php 
$user = new AuthenticatedUser($dbh);
$loggedIn = $user->isLoggedIn();
if ($user->isLoggedIn())
{
    header("Location: dashboard.php");
    die("Redirecting to dashboard...");
}

if (isset($_POST["email"]) && isset($_POST["password"]))
{
    $user->login($_POST["email"], $_POST["password"]);

    if ($user->isLoggedIn())
    {
        header("Location: dashboard.php");
    }
}

dashboard.php

<?php
$dbh = new Database();
$authUser = new AuthenticatedUser($dbh);

// When constructing the AuthenticatedUser class object in dashboard.php the
// constructor function checks to see if the user has a session and if so then
// checks for the CSRF is set. If it's not the class flips the flag for
// isLoggedIn which in turn tells dashboard.php to redirect back to login.php
if (!$authUser->isLoggedIn())
{
    header("Location: login.php");
    die("Redirecting to login...");
}
?>

0 个答案:

没有答案