मैं अभी सोच रहा हूं कि लार्वा सीएसआरएफ सुरक्षा वास्तव में कितना जोड़ता है।
अगर मैं यहां गलत हूं, तो मुझे सही करें, लेकिन एक बार सत्र पूरा करने के बाद आप केवल पृष्ठ की सामग्री को परिमार्जन नहीं कर सकते हैं?
लारवेल CSRF टोकन को पकड़ता है जिसे एक सत्र के लिए युग्मित किया जाता है और जो कि SAAF अनुरोधों के लिए मेटाटैग के रूप में एक पृष्ठ पर जोड़ता है।
<meta name="csrf-token" content="{{ csrf_token() }}">
https://laravel.com/docs/5.4/csrf#csrf-x-csrf-token
यदि आप AJAX की कार्यक्षमता की आवश्यकता नहीं है, तो बेशक आप मेटाटैग को हटा सकते हैं, लेकिन "बस आप इसे नहीं कहेंगे"।
एक बार जब आप CSRF के स्थान पर एक सत्र होगासत्र के लिए भी यही रहेगा। बेशक यह किसी के लिए बहुत काम है, लेकिन यह एक CSRF टोकन के लिए संभव समाधान नहीं है? मुझे लगता है कि यह अभी भी सुरक्षा की एक परत है कि बेहद आसान रोकता है मदद करता है? copy/paste
CSRF के हमले
बस जिज्ञासु, उम्मीद है कि कोई इस पर विस्तार कर सकता है।
संपादित करें:
मुझे पता है कि CSRF कैसे काम करता है, लोग भ्रमित कर रहे हैं कि कैसेलारवेल CSRF के साथ काम करता है, हालांकि वे उम्मीद करते हैं कि यह कैसे काम करेगा। लोगों को उम्मीद है कि CSRF टोकन अनुरोध के अनुसार पुनर्जीवित होगा, लारावेल के साथ ऐसा नहीं है:
https://github.com/illuminate/session/blob/master/Store.php#L72
मैं यह भी नहीं देखता कि आप AJAX CSRF अनुरोधों का सत्यापन कैसे कर पाएंगे, यदि आप अपने CSRF टोकन को रास्ते में कई अनुरोधों के लिए स्टोर नहीं करेंगे।
उत्तर नहीं मिला:
https://security.stackexchange.com/questions/22903/why-refresh-csrf-token-per-form-request
यह गहराई से जाता है कि प्रत्येक अनुरोध के लिए CSRF टोकन उत्पन्न करना एक बुरा विचार क्यों है।
उत्तर:
जवाब के लिए 0 № 1आपने यहाँ एक अच्छी सोच रखी है। लेकिन इस सवाल के जवाब के साथ।
क्या CSRF टोकन सत्यापन को PHP में file_get_contents का उपयोग करके तोड़ना संभव है
यहां तक कि अगर कोई व्यक्ति सीएसआर टोकन को स्क्रैप करता है और निकालता है, तो उसे एक और http अनुरोध की आवश्यकता होगी जो बदले में एक और टोकन बनाएगा। तो सारा प्रयास व्यर्थ होगा।
ध्यान दें: मैंने इसे उत्तर अनुभाग में डाल दिया है क्योंकि मेरे पास टिप्पणियों में इसे डालने के लिए पर्याप्त प्रतिष्ठा नहीं है। धन्यवाद