Задать вопрос
nickicool
@nickicool
symfony

Как правильнее проверять CSRF токены?

Думаю, это простой вопрос, и тем не менее... Где то встречаю такой вариант проверки CSRF токенов:

if (!$this->isCsrfTokenValid('delete', $request->request->get('token'))) {
            return new Response('Error');
        }


А где то вот так (т.е. к ключевому слову добавляется ID объекта):

if (!$this->isCsrfTokenValid('delete' . $entity->getId(), $request->request->get('token'))) {
            return new Response('Error');
        }


1. Как правильнее?
2. Нужно ли еще более конкретизировать ключевое слово, типа не просто `delete`, а `delete-image` например?
  • Вопрос задан
  • 97 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Решения вопроса 1
voronkovich
@voronkovich
Оба способа правильные. Просто второй более устойчив к CSRF-атакам. Например, компонет форм по умолчанию использует имя класса формы для поля "intention" ("ключевое слово", если использовать ваше определение): https://github.com/symfony/form/blob/a0386553fabb5...

С другой стороны, есть мнение, что использование различных токенов, не делает приложение более безопасным. См. https://github.com/symfony/symfony/issues/18115

Лично я использую первый вариант т.е. один токен на все приложение.
Ответ написан
1 комментарий
1 комментарий
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Middle PHP разработчик (Symfony, микросервисы, удаленка)
ДВИЖ Москва
от 240 000 до 280 000 ₽
PHP Symfony Developer
Systeme.io
от 250 000 до 350 000 ₽
Senior Backend Developer / Старший разработчик PHP (Symfony)
Webbankir
До 350 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Верстка Flutter + API
21 нояб. 2024, в 22:21
3000 руб./в час
Разработать Custom Speech-to-text Operator на Apache Flink
21 нояб. 2024, в 21:42
100000 руб./за проект
Сделать видио поздравления с субтитрами
21 нояб. 2024, в 21:30
500 руб./за проект
Ещё заказы