私はLaravelフォームのセキュリティを十分に理解しています。たとえば、フォームに <input type="hidden" name="user_id">
が含まれている場合、明らかに、ハッカーが更新を送信する前に値を変更する可能性があります。 私はCSRFでhereと見ていますが、十分な保護があるかどうかは十分にはわかりませんでしたか?Laravel 5 /フォームセキュリティ(明確化が必要)
など。上記を踏まえて、私がサイトに行ってフォームを開いて、私が閲覧することは許されているが変更はできず、悪意をもって "user_id"を変更すれば、フォームが{{ csrf_field() }}
で保護されているか、 Crypt::encrypt($id)
のようなセキュリティが、user_id(データベースに保持されています)とCrypt::decrypt($id)
を隠していますか?
(すべてがhttpsで送信されても)クライアントブラウザで行id(ユーザーIDなど)を公開することは悪い習慣と考えられますか?
多くのおかげ
csrfは、あなたが言及しているその特定のケースで本当に助けになりません。あなたがしたいのは、送信されているIDがあなたが予期しているものと同じかどうかをバックエンドでチェックすることです。 また、そのユーザーIDをエンコードして、バックエンドでデコードすることもできます。 すべては実際に達成しようとしているものによって異なりますか? – matiit
ここでは、https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)は、csrfが何であり、どのcsrfトークンがあなたを守るかを知るために読んでいます。 – matiit
'user_id'フィールドがユーザによって変更されず、*フォームに表示されない場合、なぜそれをクライアントに送信するのですか?フォームのクライアント側ではなく、 'user_id'サーバ側をSESSIONに置きます。 – ThoriumBR