这是否需要通过PHP和Ajax来防止CSRF?

时间:2011-12-11 15:58:15

标签: php jquery ajax security csrf

我想确保我理解并正确应用令牌以避免CSRF?

我的jQuery ajax请求中的数据行:

data:{ Id:getParameterByName("id"), Token:"<?php echo $csfrToken; ?>" },

我的PHP检查处理发布数据的文件:

if (isset($_SESSION['TOKEN']) && $_SESSION['TOKEN'] == $_POST['Token']) { }

我还需要做一些关于ajax请求的事情。我正在做的就是在包含ajax请求的页面上创建一个令牌。然后我将创建的令牌发布到我的ajax处理程序页面,然后检查以确保它们是相同的。还有什么需要做的吗?

1 个答案:

答案 0 :(得分:1)

看起来很棒你做了什么。这就是Zend Framework Zend_Form_Element_Hash为表单执行的操作,这也适用于AJAX请求。