CodeIgniter utilizza la protezione CSRF solo in alcune pagine

Question

Quello che voglio fare è proteggere alcuni moduli sensibili dall'attacco CSRF in codeigniter ma non tutte le pagine.

Per proteggere da CSRF se l'ho impostato in config.php vale per tutte le pagine. c'è un modo per farlo solo per alcune pagine impostando nel controller?

$config['csrf_protection'] = TRUE; 

Answer 1

Ora il CI3 hanno questa caratteristica, possiamo escludere gli URI nella configurazione http://www.codeigniter.com/userguide3/libraries/security.html?highlight=csrf#cross-site-request-forgery-csrf

$config['csrf_exclude_uris'] = array('api/person/add'); 


$config['csrf_exclude_uris'] = array(
    'api/record/[0-9]+', 
    'api/title/[a-z]+' 
); 

Answer 2

È possibile farlo modificando il file config.php

$config['csrf_protection'] = FALSE; 

Fase 1: creare una serie di pagine che si desidera proteggere

es. $csrf_pages = array('login','test');

Passaggio 2: verificare se è presente una richiesta per la pagina protetta, quindi impostarla su VERO;

if (isset($_SERVER["REQUEST_URI"])) { 
    foreach ($csrf_pages as $csrf_page){ 
     if(stripos($_SERVER["REQUEST_URI"],$csrf_page) !== FALSE) { 
      $config['csrf_protection'] = TRUE; 
      break; 
     } 
    } 

} 

Fase 3: aggiungere questo al vostro punto di vista

<input type="hidden" name="<?php echo $this->security->get_csrf_token_name(); ?>" value="<?php echo $this->security->get_csrf_hash();?>" /> 

o semplicemente utilizzare la funzione Form_Open() per aggiungere automaticamente il campo token CSRF nascosta.