如何通过在每个请求中包含随机令牌或为每个表单字段使用随机名称来防止Cross Site Request Forgery (CSRF) Web应用程序中的cakephp攻击。 Cross Site Request Forgery (CSRF)攻击利用了一个Web应用程序漏洞,其中,受害者无意中在浏览器中运行了一个脚本,该脚本利用了他们登录特定站点的会话。可以对CSRF或GET请求执行POST攻击。
答案 0 :(得分:1)
如果cakephp的版本是3.0.0 <3.5:
Cakephp中有一个用于相同目的的CSRF组件。
只需将CsrfComponent添加到组件阵列中,您就可以从它提供的CSRF保护中受益:
public function initialize()
{
parent::initialize();
$this->loadComponent('Csrf');
}
https://book.cakephp.org/3.0/en/controllers/components/csrf.html
低于3.5的版本应改用CsrfMiddleware。