0
私は現在、リクエストパラメータに基づいてデータベースに挿入されるajax経由でデータをサーバーに送信するjqueryコードを開発しています。JQuery AJAXで一般的なCSRFトークンを実装する方法は?
しかし、私はむしろ、これがむしろ安全ではないCSRF攻撃によって悪用される可能性があることを心配しています。私はこれを研究しようとしましたが、PHPで使用する汎用実装の後でしかない、ジャンゴやレールなどの特定のフレームワークに対する答えを見つけるだけです。
JQuery.ajaxsend()関数を使用してコードを実装し、トークンがEVERY AJAXリクエストで送信されるように読んだことがありますが、JavaScriptが実装されているため、JavaScriptにはアクセスできませんPHPセッション変数。クッキーの使用は十分に安全でしょうか?
基本的には、リクエストの発信元を確認して、リクエストが本物であり、システムを利用するために使用された偽造リクエストでないことを確認する必要があります。
誰かが正しい方向に私を指し示すことができるなら、それは最も高く評価されるでしょう!
これは、AJAXリクエストがセッションで何かによって認証されていることを前提としています。 –
ユーザーがアクセスできるように、ユーザーはログインする必要があります。したがって、認証のためにPHPセッションでチェックが行われます。 –
また、$ .ajaxで送信されるセッションクッキー情報がないようです。 –