标签归档登录

使用 Symfony Guard 做用户登录

Chris Yue No Comments

其实 Symfony Guard 已经发布很久了,很早就想写一篇相关的教程,趁最近一个项目有用到它,正好可以作为一个实例,跟大家展示一下 Guard 的用法。

登录表单是否需要 CSRF 保护?

Chris Yue No Comments

在过去相当长一段时间里,我认为登录是不需要 CSRF 保护的。我的想法是,让受害者做一些“需要权限并能改变数据”的事情才是 CSRF 的『人生目标』。而登录却是不需要权限也不会改变数据(当然,日志,或者积分什么的还是会创建,只不过不能给攻击者带来什么实质性的好处),所以 CSRF 保护一个登录表单能有什么用呢。

后来得知“Login CSRF”这个术语之后,专门上网查阅了一下,才发现事情没这么简单,原来还可以这么玩儿:

2018年八月
« 6月  
 12345
6789101112
13141516171819
20212223242526
2728293031 
赞赏码

邀请码

  • 网易星球 AADS5E
  • 公信宝布洛克城 TE7ARU