1. 首页
  2. 问答
  3. 控制器安全问题中的代码点火器验证码

控制器安全问题中的代码点火器验证码

2010-06-17 65 views
0

我有一个主控制器来处理我的验证系统的前端,它处理登录,注销,更新用户信息等功能,我希望通过POST来调用视图/表格。那么像“delete_user”函​​数呢?我的想法是某人管理面板上的一个按钮会显示“删除帐户”,它会发送到“/ auth/delete”,并且该功能会根据用户的会话用户名或ID删除用户。这似乎有点开放,你可以发送一个链接给某人,当他们在该应用程序中打开它时,它会删除他们的帐户。最好的办法是什么?控制器安全问题中的代码点火器验证码

来源

2010-06-17 Prime Studios

回答

0

我处理这个问题的方式如下。在您的帐户页面上,您有一个删除帐户的链接。他们点击该页面并与另一页面打招呼,询问他们是否真的有把握,如果需要,请输入他们的密码以确认他们确定。

他们这样做后,我停用他们的帐户(不删除),并发送一封电子邮件说他们的帐户已被停用,如果这意图没有其他行动需要他们的一部分。如果没有打算他们可以登录到他们的帐户,它会重新激活它。 (48小时内)48小时后,我删除了他们的帐户和信息。

来源

2010-06-17 02:03:50

1

你所关心的实际上叫做Cross Site Request Forgery或XSRF。你可以在OWASP Website上阅读更多关于它的内容。

几件事情,你应该做的解决这个问题 -

  1. 使用POST进行删除操作。这并不能保护您免受XSRF的侵害,但可以保护您免受链接追随者/页面加速器的侵害。它也是http最佳实践。
  2. 将您的会话标识符发布在请求的正文中。在服务器端,比较来自cookie和来自请求的会话标识符 - 如果它们不同,则拒绝该请求。这是防止XSRF的“double submit cookie”方法。
  3. 或者,您可以要求用户解决验证码。
    4.

此外,汤姆提到的“软删除”也是一个好主意。

来源

2010-06-17 02:47:01

1

这听起来像添加一些其他信息的功能是答案。这里是有问题的功能:

function delete() { 
     $id = $this->session->userdata('user_id'); 
     $this->auth->delete_user($id); 
     redirect('home'); 
    }

在代码点火器这可以通过访问site.com/class/delete这是我的问题访问。我认为一个好的计划将发布一个认证令牌与删除按钮(保存在cookie中),所以也无法通过URL采取行动:

function delete() { 
     if($this->input->post("token") == $this->session->userdata('token')) { 
      $id = $this->session->userdata('user_id'); 
      $this->auth->delete_user($id); 
     } 
     redirect('home'); 
    }

我不认为我需要一个软现在删除,但谢谢你的提示!如果你看到任何其他问题请解释,谢谢。

来源

2010-06-17 16:36:39

相关问题

 相关问题