/action/logoutCodeigniter には、フォーム ヘルパーを使用すると CSRF/XSRF を防ぐことができる非常に便利なセキュリティ クラスがあることは知っていますが、CI url 構造は多くの関数をほとんど直接呼び出すため、追加なしでCSRF を防ぐにはどうすればよいですか? SEのような確認フォームはありますか?
私が持っていたアイデア:
- ページ リファラーを確認する
- 要求された MIME タイプを確認します (可能ですか?) ( などの画像 CSRF の場合
<img src="http://example.com/action/logout" />) - すべてのアクションをフォームの一部にする (望ましくない)
- ページ URL に CSRF トークンを含めます (醜く非常に悪いことです。ユーザーは、保存されているセッション ID やその他の個人情報に関係なく、URL をコピー アンド ペーストすることを好みます)。
/account/view/1/cyclone/アクションを実行せず、せいぜい帯域幅を浪費するだけなので、保護する必要はありません。
確かに、ウェブサイトの使用を自動化するためにコードを書くのが好きな人がいることは知っています。私はそれを尊重します。そのため、コードを介して、または自動的にアクションを実行するための API を作成します。