Задать вопрос
nickicool
@nickicool
symfony

Как правильнее проверять CSRF токены?

Думаю, это простой вопрос, и тем не менее... Где то встречаю такой вариант проверки CSRF токенов:

if (!$this->isCsrfTokenValid('delete', $request->request->get('token'))) {
            return new Response('Error');
        }


А где то вот так (т.е. к ключевому слову добавляется ID объекта):

if (!$this->isCsrfTokenValid('delete' . $entity->getId(), $request->request->get('token'))) {
            return new Response('Error');
        }


1. Как правильнее?
2. Нужно ли еще более конкретизировать ключевое слово, типа не просто `delete`, а `delete-image` например?
  • Вопрос задан
  • 96 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Решения вопроса 1
voronkovich
@voronkovich
Оба способа правильные. Просто второй более устойчив к CSRF-атакам. Например, компонет форм по умолчанию использует имя класса формы для поля "intention" ("ключевое слово", если использовать ваше определение): https://github.com/symfony/form/blob/a0386553fabb5...

С другой стороны, есть мнение, что использование различных токенов, не делает приложение более безопасным. См. https://github.com/symfony/symfony/issues/18115

Лично я использую первый вариант т.е. один токен на все приложение.
Ответ написан
1 комментарий
1 комментарий
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP/Symfony программист
Венста Киров
от 220 000 ₽
PHP-разработчик (Symfony)
IRLIX
от 150 000 ₽
Senior Backend разработчик (PHP 8, Symfony 6, PostgreSQL)
TextMagic
от 5 000 $
Ещё вакансии
Заказы с Хабр Фриланса
Скрипт рассылки голосовых для ASTERISK
23 апр. 2024, в 18:47
10000 руб./за проект
Разработка мобильного приложения с интеграцией из WhatsApp
23 апр. 2024, в 18:23
200000 руб./за проект
Необходимо отверстать страницу сайта с мобильной версией и адаптивным
23 апр. 2024, в 17:59
1000 руб./в час
Ещё заказы