标签: security drupal drupal-7 csrf drupal-forms
我向this question询问了使用Drupal 7的Forms API的原因,而不仅仅是自己处理表单提交请求,最后调用node_save()或comment_save()这样的函数。虽然使用Forms API有各种各样的原因,但只引发了一个可能的安全漏洞:通过不使用Drupal 7的Forms API,我会错过它使用的CSRF预防技术。根据我的阅读,这基本上涉及使用令牌来验证请求。
node_save()
comment_save()
我的问题有两个:
请注意,我不希望这个问题成为我是否应该使用Forms API的讨论。
答案 0 :(得分:1)
令牌由drupal_get_token()生成,并使用drupal_valid_token()验证。