Vermeiden Sie CSRF mit Form-> Postlink bei CakePHP 2.2

Question

Ich versuche, die security-Komponente zu verwenden, um CSRF-Angriffe zu vermeiden, und wenn ich den Formheler benutze, um das Ticket, das gerade mit einem Postlink verwendet, einfach mit einem Postlink erstellt, fehlgeschlagen:

generasacodicetagpre.

Ich bin nicht sicher, ob dies möglich ist oder CakePHP diese Funktion einfach mithilfe der Create () und den End-Methoden von Formhelper ermöglichen.

CakePHP-Dokumentation nur sagt das ist dasist obligatorisch, um den Formheler zu verwenden, aber es gibt nicht viel mehr an.

Answer 1

Wenn Sie die Sicherheitskomponente aktiviert haben und die Formhelper-Methoden für alle Formulare verwenden, müssen Sie sich keine Sorgen machen.Sie müssen auch nichts konfigurieren.Es klappt aus der Box.

Für CSRF können Sie die folgenden Optionen verwenden:

generasacodicetagpre.

Wenn Sie alles auf Sie haben, sollten die CSRF-Token in der HTML des Formulars angezeigt werden.Sie können alle zusätzlichen Optionen festlegen, die Ihnen gefällt, aber es wird ziemlich aus der Box für Sie trainiert.