标签归档登录

使用 Symfony Guard 做用户登录

Chris Yue No Comments

其实 Symfony Guard 已经发布很久了,很早就想写一篇相关的教程,趁最近一个项目有用到它,正好可以作为一个实例,跟大家展示一下 Guard 的用法。

登录表单是否需要 CSRF 保护?

Chris Yue No Comments

在过去相当长一段时间里,我认为登录是不需要 CSRF 保护的。我的想法是,让受害者做一些“需要权限并能改变数据”的事情才是 CSRF 的『人生目标』。而登录却是不需要权限也不会改变数据(当然,日志,或者积分什么的还是会创建,只不过不能给攻击者带来什么实质性的好处),所以 CSRF 保护一个登录表单能有什么用呢。

后来得知“Login CSRF”这个术语之后,专门上网查阅了一下,才发现事情没这么简单,原来还可以这么玩儿:

2018年十月
« 9月  
1234567
891011121314
15161718192021
22232425262728
293031