0
私はthis questionに、フォーム提出リクエストを自分で処理し、最終的にnode_save()
またはcomment_save()
のような関数を呼び出すのではなく、Drupal 7のForms APIを使用する理由について尋ねました。 Forms APIの使用にはさまざまな理由がありましたが、Drupal 7のForms APIを使用しないことで、それが使用するCSRF予防テクニックを逃してしまいます。私が読んだことから、これは基本的に要求を検証するためのトークンの使用を伴います。カスタムAJAXフォーム提出のCSRFの防止
私の質問は二つです:
- は、それによって完全に私が使用しないでと仮定している追加のリスクを排除し、私はAjaxリクエストを処理するために書くスクリプトでCSRF防止のDrupalののトークン方式を活用することが可能ですForms API?もしそうなら、どうですか?
- Forms APIは、実装する必要があるトークン以外のテクニックを採用していますか?
私はForms APIを使用するかどうかの議論にはなりません。