Drupal 7 の Forms API を使用する理由について、フォーム送信リクエストを自分で処理して最終的にorのような関数を呼び出すのではなく、この質問をしました。Forms API を使用する理由はさまざまですが、考えられるセキュリティ上の脆弱性は 1 つだけでした。Drupal 7 の Forms API を使用しないと、それが使用する CSRF 防止技術を見逃すことになります。私が読んだことから、これには基本的にリクエストを検証するためのトークンの使用が含まれます。node_save()comment_save()
私の質問は 2 つあります。
- Ajax リクエストを処理するために私が書いたスクリプトで Drupal の CSRF 防止のトークン メソッドを活用することは可能ですか?それにより、フォーム API を使用しないことで想定している追加のリスクを完全に排除できますか? もしそうなら、どのように?
- Forms API は、実装する必要があるトークンの使用以外の手法を採用していますか?
この質問が Forms API を使用すべきかどうかの議論になることを望んでいないことに注意してください。