Pergunta

Eu realmente não entendo o form_key recurso.Encontrei vários sites de pedir e lidar com as questões sobre a form_key mas ninguém explicou a razão para a sua existência.

Todos trabalharam apenas em torno deste "recurso de segurança" exemplo:este

Alguém pode explicar o que o form_key é usado para?

EDITAR:ok, eu recebo o CSRF Vetor para alteração de dados do usuário ou qualquer coisa além do carrinho e até o check-out.
Mas o que poderia ser o possível ataque no carrinho de ser?!

Foi útil?

Solução

Ele impede que Cross Site Request Forgery

Cross-Site Request Forgery (CSRF) é um ataque que as forças de um usuário final para executar ações indesejadas em um aplicativo web no qual ele/ela está atualmente autenticado.Ataques CSRF especificamente alvo de alteração de estado de pedidos, não o roubo dos dados, já que o invasor não tem como ver a resposta para o forjado pedido.Com um pouco de ajuda da engenharia social (como o envio de um link por e-mail/bate-papo), um invasor pode enganar os usuários de um aplicativo web para execução de ações de escolha do invasor,.Se a vítima for um usuário normal, o sucesso de um ataque CSRF pode forçar o usuário a executar estado de alteração de pedidos, como a transferência de fundos, alterando o seu endereço de e-mail, etc.Se a vítima for uma conta administrativa, CSRF, pode comprometer todo o aplicativo web.

(destaque acrescentado)

Licenciado em: CC-BY-SA com atribuição
Não afiliado a magento.stackexchange
scroll top