241еместо
uLogin - виджет авторизации через социальные сети « все идеи проекта

2

голоса

Передача дополнительных параметров для POST запроса

Для поддержки Csrf Validation, например для yii2, необходимо, что-бы в пост запросе приходили правильные данные. На стороне сайта можно передавать правильный код.
Например, в любой форме yii2 (при включенной защите) генерирует скрытое поле:
input type="hidden" name="_csrf" value="eVFSSDFCOEdUJx8xdzhJCSwcAXACNncXS2lkK0UKfnRPZj0FHDYPcw=="

При нажатии кнопки авторизации, на сервера uLogin надо передать 2 переменных:
1) имя поля
2) значение поля

При возврате пользователя на сайт (POST запрос, который передает токен) добавлять поле с указанным именем и значением. Т.е. сейчас запрос выглядит так:
token=7b09ef8e0fd1277e5b7e3dd5152c8dd5
а должен выглядеть так:
token=7b09ef8e0fd1277e5b7e3dd5152c8dd5; _csrf=eVFSSDFCOEdUJx8xdzhJCSwcAXACNncXS2lkK0UKfnRPZj0FHDYPcw==

Помечено как спам Помечено как дубликат
Статус идеи: ожидает рассмотрения

Комментарии

Иван Пшеницын, 29.12.2014, 20:44
Здравствуйте.
Аналогичный вопрос уже был, правда, с другим фреймворком. А вы точно уверены, что _csrf не будет принят системой, если его передать в GET-параметрах? В прошлый раз добавление этого параметра к redirect_uri решило все проблемы.
* я говорил про передачу в POST параметрах
* как настроить передачу дополнительный параметров?
Иван Пшеницын, 30.12.2014, 14:29
Я понял, о чем вы говорили. В свою очередь я задал вам вопрос - неужели не работает в GET-параметрах?
В POST настроить никак нельзя.
не пробовал. Надо глянуть на код фреймворка.
GET параметры не подходят.
csrf можно передавать или в теле сообщения (если передается, например, json) или в заголовке HTTP.

Оставить комментарий