防止 Codeigniter 中不属于表单一部分的内容发生 CSRF

Question

我知道 Codeigniter 有一个非常有用的安全类，如果您使用表单助手，它可以防止 CSRF/XSRF，但由于 CI url 结构几乎直接调用很多函数，我如何防止诸如 / 之类的 CSRF操作/注销 没有像 SE 那样的额外确认表单？

我的想法：

• 检查页面引用者
• 检查请求的 MIME 类型（甚至可能吗？）（对于图像 CSRF，例如 )
• 使所有操作成为表单的一部分（不推荐）
• 在页面 URL 中包含 CSRF 令牌（丑陋且非常糟糕，用户喜欢复制和粘贴 URL，而不考虑存储的会话 ID 或其他私人信息）

我不会费心保护诸如此类的东西/account/view/1/cyclone/ 因为它不执行任何操作，最多会浪费带宽。

当然，我确实知道有些人喜欢编写代码来自动化他们的网站使用，我尊重这一点，这就是为什么我将创建一个 API 来通过代码或自动执行操作。

Answer 1

作为一般规则，任何执行操作的表单请求都应使用 POST。除此之外，GET 是允许的。使用 POST 肯定会有帮助。我相信您还可以将令牌作为隐藏字段包含在表单中，而不是在 URL 中包含丑陋的字符串。至于检查请求的 MIME 类型，这是不可能的。执行 print_r($_SERVER) ，其中基本上包含您从用户以及服务器端获得的所有内容。