如何通過AJAX將OWASP CSRF Protector用於每個POST請求？

Question

你好計算器社區，

我在谷歌搜索的方法來保護我的網站HTTP POST請求的CSRF攻擊，我發現OWASP CSRF保護項目，我把萬一有人網頁鏈接不知道是什麼： click here檢查git reposity。作爲上述頁面的作者解釋，但我似乎沒有工作，因爲我不能使ajax請求成功，我沒有任何錯誤信息，以瞭解什麼錯誤。

最後，我下載了OWASP CSRF保護庫，我把我的配置文件在開始每一頁的CSRFP_TOKEN並在每個PHP頁面下面的代碼：

<php  
    include_once __DIR__ .'/libs/csrf/csrfprotector.php'; 

    //Initialise CSRFGuard library 
    csrfProtector::init(); 

?> 

有誰知道否則我應該這樣做，也許將這個csrf標記附加到每個表單，創建一個SESSION以及如何做這樣的事情。

PS->令牌可以是靜態的或者我需要動態地改變它

預先感謝您！

Answer 1

您可以按照下列步驟進行使用CSRF保護：

https://github.com/mebjas/CSRF-Protector-PHP/wiki/How-to-use

請注意，你需要在config.php文件編輯jsUrl指向放置服務csrfprotector路徑的.js

例 「jsUrl」=> 「http://localhost/YOU_PATH_TO_XCSRF /xcsrf/vendor/owasp/csrf-protector-php/js/csrfprotector.js」

你可以做一個每會話令牌或每個表單令牌，看到這個問題的答案了更多的細節： CSRF protection: do we have to generate a token for every form?