opencontent/

ezuserformtoken-ls

Opencontent eZ Publish 旧版用户表单令牌扩展

维护者

详细信息

github.com/OpencontentCoop/ezuserformtoken

源代码

问题

安装数: 3,304

依赖: 0

建议者: 0

安全: 0

星标: 0

关注者: 8

分支: 1

开放问题: 0

类型:ezpublish-legacy-extension

dev-master 2019-07-19 13:04 UTC

Requires

GPL-2.0 0177580edf2b3f6168e51703795f72e2c9cfe835

This package is auto-updated.

Last update: 2024-09-20 01:32:59 UTC

README

此扩展旨在阻止针对 eZ Publish 的 CSRF 攻击,实现 detectify 中描述的简单修复方法。

它的工作方式与官方扩展 eZ 表单令牌 类似,增加了输入和输出过滤器事件,这些事件验证 POST 请求是否包含与生成的自定义 cookie 匹配的输入。与 eZ 表单令牌不同的是,验证是在匿名用户的请求上进行的。

所有这些操作都对 html/xhtml 表单透明执行,但需要更改所有 ajax POST 代码。如果表单令牌验证失败,当前会抛出异常并向 HTTP 客户端发送错误 500。

可以配置要保护的模块,并更改 site.ini 中新配置块 [UserFormToken] 的 cookie 参数(请参阅此扩展 settings/site.ini.append.php 文件中的默认设置)

另请参阅:如何在 stackexchange 中保护免受登录 CSRF?