1
所以我第一次安裝了EE。複製文件,創建數據庫和用戶,運行安裝,並且一切運行良好。爲什麼「csrf_protection」不能在一個乾淨的ExpressionEngine上安裝?
接下來,我進入我的配置文件,並設置:
$config['csrf_protection'] = TRUE;
這一切都需要...現在我無法登錄到控制面板!我得到了「你所要求的行爲是不允許的」。
我在做什麼錯了!?
所以我第一次安裝了EE。複製文件,創建數據庫和用戶,運行安裝,並且一切運行良好。爲什麼「csrf_protection」不能在一個乾淨的ExpressionEngine上安裝?
接下來,我進入我的配置文件,並設置:
$config['csrf_protection'] = TRUE;
這一切都需要...現在我無法登錄到控制面板!我得到了「你所要求的行爲是不允許的」。
我在做什麼錯了!?
你爲什麼要在你的配置文件中設置它?我很肯定csrf_protecton
是一個CodeIgniter設置,並沒有得到EE的正確支持。 EE還有其他內置的安全措施來避免CSRF攻擊。
有趣的你應該說,因爲我來自CodeIgniter的背景;我的第一本能是打開'csrf_protection'。那麼你是否說我不需要做任何額外的*來再次保護我的網站使用ExpressionEngine的CSRF攻擊? –
EE使用類似的(但不同的)系統來防止CSRF - 我不熟悉CodeIgniter處理它的原理,但EE幾乎在所有表單中都使用XID隱藏字段(默認情況下,CP中的每個表單都有)以及我所知道的大多數前端附加組件。 –
也發現它可能很有用:http://expressionengine.com/forums/viewthread/199161/ –