Ajax jquery ar security tokeniem. Kā?

[Sasa]

Nezinu pat kā meklēt par šo lietu materiālus, ir tikai atāla nojausma, apmēram, kā man šķiet. Ideja tāda ka lietotājs ielogojas viņam tiek piešķirts tokens, kurš iet cauri visiem pieprasījumiem, kamēr lietotājs neizlogojas.

Kā realizēt? Kā sataisīt drošu webu?

[codez]

Vinekāršākais variants būtu piesaistīt tokenu ip adresei, tas atļaus XSRF uzbrukumus vienas ip ietvaros, kas praktiski ir neiespējami. Ja tas neder, var pielikt klāt vēl kādus requesta datus, vai ideālā gadījumā ģenērēt unikālu tokenu un glabāt sesijā.

$_token=hash('sha512','SOMESALT'.$_SERVER['REMOTE_ADDR']);

 

Tālāk lapā script tagos ieliec, lai visiem ajax requestiem pievienotu _tokenu;

 _token='<?php echo $_token; ?>';
 $.ajaxSetup({data:{_token:_token}});

 

tālāk katrā ajax requestā uzģenerē no ip vai nolasi no sesijas tokenu un pārbaudi vai sakrīt ar atsūtīto. Ja sakrīt viss kārtībā, ja nē reģistrē mēģinājumu hackot. Vari pat responsē atbildēt, ka "tava IP ir ielokota un speciālā uzdevumu vienībā ir ceļā pie tevis".

Man, piemēram, MVC visi ajax requesti iet caur speicālu ajax pieprasījumu apstrādes kontroleri, kurš arī automātiski čeko tokenu un tālāk izsauc vajadzīgo ajax kontroleri un tā action-u.

[Sasa]

Ja man iekš ajaxSetup'a būs data: ... un tad kāda ajax requestā arī data: ... (kaut kas ko es gribu iepostēt vai izgetot no db) tas data kas tika uzstādīts iekš ajaxSatup'a nepārrakstīsies ar requesta datu? Vai vienkārši tiks papildināts?

 

XSRF un CSRF ir viens un tas pats?

Edited August 17, 2011 by Sasa

[daGrevis]

XSRF un CSRF ir viens un tas pats?

 

Aga.

[codez]

tak skaties dokumentāciju, data neparādīsies, parādīsies _token

[Sasa]

Atgriežoties pie visa šā. Kad man vajadzētu ģenerēt tokenu tikko kā lapa tiek atvērta, vai arī tad kad lietotājs ir ielogojies?

[codez]

XSRF aizsardzību parasti taisa neatkarīgi no tā vai lietotājs ir ielogojies, vai nav, tātad vienmēr.