Comment utiliser OWASP CSRF Protector pour chaque requête POST via AJAX?

Question

communauté stackoverflow Bonjour,

je recherche dans google une méthode pour protéger mon site web requêtes HTTP POST des attaques CSRF et j'ai trouvé le projet OWASP CSRF Protector, je place le lien de la page au cas où quelqu'un ne sais pas ce qui est: click here pour vérifier la repositionnement git. J'ai suivi le guide comme l'auteur de la page ci-dessus explique mais ne semble pas fonctionner car je ne peux pas faire une demande ajax avec succès et je n'ai pas non plus un message d'erreur pour comprendre ce qui ne va pas.

Pour conclure, j'ai téléchargé la bibliothèque OWASP CSRF Protector, je posai ma config déposer une CSRFP_TOKEN et aussi dans chaque page php le code suivant au Début de chaque page:

<php  
    include_once __DIR__ .'/libs/csrf/csrfprotector.php'; 

    //Initialise CSRFGuard library 
    csrfProtector::init(); 

?> 

Est-ce que quelqu'un sait ce que sinon, je devrais faire, peut-être attacher ce jeton csrf à chaque forme, en créant un SESSION et comment faire quelque chose comme ça.

PS-> Le jeton peut être statique ou ai-je besoin de changer dynamiquement

Merci à l'avance!

Answer 1

Vous pouvez suivre les étapes ici pour utiliser CSRF Protector:

https://github.com/mebjas/CSRF-Protector-PHP/wiki/How-to-use

S'il vous plaît notez que, vous devez modifier le jsUrl dans le fichier config.php pour pointer vers le chemin où vous avez placé votre csrfprotector .js

Exemple "jsUrl" => "http://localhost/YOU_PATH_TO_XCSRF /xcsrf/vendor/owasp/csrf-protector-php/js/csrfprotector.js"

Vous pouvez faire un jeton par session ou un jeton par formulaire, voir les réponses à cette question pour plus de détails: CSRF protection: do we have to generate a token for every form?