0
我询问this question关于使用Drupal 7的Forms API的原因,而不是仅仅处理表单提交请求,最终调用像node_save()或comment_save()这样的函数。虽然使用Forms API有各种各样的原因,但只有一个可能的安全漏洞被提出来了:由于不使用Drupal 7的Forms API,我错过了它使用的CSRF预防技术。从我读过的内容来看,这基本上涉及使用令牌来验证请求。防止自定义AJAX表单提交中的CSRF
我的问题是双重的:
- 是否有可能利用Drupal的CSRF预防令牌方法在我写来处理Ajax请求的脚本,从而完全消除了额外的风险,我不使用假设Forms API?如果是这样,怎么样?
- 表单API是否使用了我应该实现的令牌之外的技术?
请注意,我不希望这个问题成为我是否应该使用Forms API的讨论。