Задать вопрос
@igor1112

Безопасное сохранение нового поста, laravel?

Сайт работает по-обычному: только админа пускает в админку, в админке он заполняет заголовок нового поста и его контент, затем axios отправляет POST-запрос по адресу "site.ru/news" (в заголовках как и положено лежит X-CSRF-TOKEN).
Так вот, меня волнует безопасность. Ведь продвинутый юзер не заходя в админку может отправить POST запрос по моему адресу "site.ru/news" со своими данными и по сути сервер обработает как надо и сохранит в базу. Какие действия умные люди предпринимают, чтобы такого не произошло?
  • Вопрос задан
  • 136 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 2
alexey-m-ukolov
@alexey-m-ukolov Куратор тега Laravel
Закрывают эндпоинты редактирования тем же middleware с проверкой авторизации, что и админку. Используют gates и policies. Читают документацию.
Ответ написан
Комментировать
guerrrka
@guerrrka
Юзай тот же middleware, что и на вход в админку (если, конечно, юзаешь его)
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
orlov0562
@orlov0562
I'm cool!
Сервер не обработает, т.к. продвинутый пользователь не будет иметь CSRF токена админа в сессии.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы