Защита формы & Ajax

  • wildapache

    (@wildapache)


    1 месяц назад

    Возник вопрос.

    На сайт есть форма которая отправляет через Ajax, айди страницы (post_id).

    Дело в том, что при отправке формы айди можно подменить на любой другой.

    Вопрос в том как 100% убедиться что отправленный айди совпадает с постом с которого была отправлена форма ?

    • Тема изменена 1 месяц назад пользователем wildapache.
Просмотр 8 ответов — с 1 по 8 (всего 8)
  • ravilr63

    (@ravilr63)

    1 месяц назад

    Боитесь что в пост запросе изменят?

    Автор wildapache

    (@wildapache)

    1 месяц назад

    Получается так, что если подменить айди, тогда есть вариант отправить сообщение, тому же автору, только вот тема будет того айди на который подменили (это как вариант). Дело в том что я хочу понять можно ли сделать как-то жёсткую привязку по айди поста.

    Модератор Юрій

    (@yube)

    1 месяц назад

    Я бы поискал способ подмешать ID в nonce. Подмена вскроется на этапе проверки. Заодно защита от CSRF.

    Автор wildapache

    (@wildapache)

    1 месяц назад

    Отличная идея, так как проверка есть с серверной стороны, подмешать не додумался, а вот отправить через аякс доп полем — да. Правда там не трудно будет догадаться, так как в любом случае нужен будет какой-то разделитель.

    ravilr63

    (@ravilr63)

    1 месяц назад

    Да хоть отдельным полем, просто зашифровать с солью и все.

    • Ответ изменён 1 месяц назад пользователем ravilr63.
    efess

    (@efess)

    1 месяц назад

    wp_nonce создаёт значение при формировании html страницы. А проверяется уже после передачи аяксом

    Автор wildapache

    (@wildapache)

    1 месяц назад

    Что-то если я верно понял, подмешать не выйдет. Так как генерация происходит за счёт функции. То есть можно было бы сделать так, к генерируемому коду добавляем 4 цифры (на выходе получая уникальный ключ в котором оригинальный айди поста !) Но, добавить при генерации что-то своё, как я понял нельзя.

    Нашёл.

    wp_create_nonce( ‘delete_post-‘ . $post_id );

    Попробую

    • Ответ изменён 1 месяц назад пользователем wildapache.
    Автор wildapache

    (@wildapache)

    1 месяц назад

    Проблема решена, получилось ! Не знал что при верификации можно проверять разделитель !

    Теперь получается подменить айди поста в принципе невозможно, что и требовалось.

Просмотр 8 ответов — с 1 по 8 (всего 8)