Защита от csrf

Question

Я пытался использовать метод ключа формы для csrf protection здесь http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/. Но он применяется только к одной форме на странице. Мой вопрос

Пусть у меня есть форма

<form action="action.php" method="post"> 
<!-- code here --> 
</form> 

и мой PHP Я использую

<?php 
if(isset($_POST['submit']) && isset($_SESSION['user'])) 
{ 
//do something 
} 

Я уже использую session user для подтверждения он вошел в систему и и форма представленный моим сайтом, поскольку сессия была сделана на моем сайте. Должен ли я использовать метод защиты csrf?

Answer 1

Должен ли я использовать метод защиты csrf?

Да, потому что именно поэтому CSRF опасен; куки-жертвы «жертвы» неосознанно отправляются на сервер для выполнения определенного действия от имени «хакера», когда они представляют модифицированную форму на другом сайте, замаскированную симпатичной фотографией котенка (например).

Когда скрытая форма отправлена, ваш сайт не может сообщить запрос отдельно от его законного, поскольку аутентификация будет действительна. Добавление маркера CSRF гарантирует, что форма была отправлена ​​со страницы вашего сайта.

Когда сеанс создан, вы также генерируете токен CSRF. Этот токен затем используется для всех форм на вашем сайте в течение всего сеанса; это предотвращает проблемы с одновременным открытием нескольких вкладок.

Даже если форма скопирована с вашей страницы, включая токен CSRF, этот токен будет храниться в сеансе, который не принадлежит аутентифицированному пользователю.