disable php security codeigniter token

php - disable - Codeigniter CSRF-¿Cómo funciona?



csrf codeigniter ajax (3)

Recientemente me enteré de los ataques CSRF y me alegró descubrir que la protección CSRF se agregó a Codeigniter v 2.0.0.

Activé la función y vi que se agrega una entrada oculta con un token en los formularios y asumo que también almacena el token en una sesión. En las solicitudes POST, ¿CI compara los tokens automáticamente o tengo que hacerlo manualmente?


Consulte este enlace: Tokens CSRF usados ​​con ayuda de formulario o Manualmente

El artículo explica cómo trabajar con los tokens CSRF en

  • forma abierta con la función form_open() ayudante de forma
  • en formas ajax
  • formularios de serialización ajax / jquery

Este artículo también explica cómo " Deshabilitar CSRF para cetain URL''s (que se usan como URL de servicio web) "


Cuando la clase de seguridad habilitada para la protección csrf comprueba este token automáticamente (compara el token POST con el token COOKIE)


El token CSRF se agrega al formulario como una entrada oculta solo cuando se utiliza la función form_open() .

La clase de seguridad crea una cookie con el valor del token CSRF y, si es necesario, se regenera para cada solicitud.

Si existen datos de $_POST , la clase de entrada valida automáticamente la cookie. Si el token publicado no coincide con el valor de la cookie, CI mostrará un error y no podrá procesar los datos de $_POST .

Básicamente, todo es automático: todo lo que tiene que hacer es habilitarlo en su $config[''csrf_protection''] y usar la función form_open() para su formulario.

Encontré un buen artículo que lo explica muy bien: https://beheist.com/blog/csrf-protection-in-codeigniter-2-0-a-closer-look.html