防止自定义 AJAX 表单提交中的 CSRF

Question

我问这个问题关于使用 Drupal 7 的 Forms API 的原因，而不是自己处理表单提交请求并最终调用像 node_save() 或comment_save()。虽然使用 Forms API 的原因有很多种，但只提出了一个可能的安全漏洞：如果不使用 Drupal 7 的 Forms API，我就会错过它使用的 CSRF 预防技术。据我所知，这基本上涉及使用令牌来验证请求。

我的问题有两个：

1. 是否可以在我编写的脚本中利用 Drupal 的 CSRF 预防令牌方法来处理 Ajax 请求，从而完全消除我因不使用 Forms API 而承担的额外风险？如果是这样，怎么办？
2. 除了使用令牌之外，Forms API 是否还采用了我也应该实现的技术？

请注意，我不希望这个问题成为我是否应该使用 Forms API 的讨论。

Answer 1

令牌由 drupal_get_token() 生成，并且使用 drupal_valid_token()。