CSRF ochrana – automaticka namiesto vynutenej

marioff

Caute,

po anglicky moc neviem, preto nadnesiem tuto temu tu, ak mozem.

Preco sa musi csrf ochrana formularu rucne vynucovat? Nie je z bezpecnostneho hladiska lepsie, ak by bola ochrana automaticka, a jej vypnutie by sa muselo vynutit rucne?

Predsa len, lepsie zabudnut nepotrebnu ochranu vypnut, ako dolezitu zabudnut zapnut, nie?

Editoval marioff (18. 6. 2018 19:49)

CZechBoY

Vsak muzes si udelat ve sve vlastni tovarne na formular aby kazdy form mel hned csrf.

marioff

Ja ano. Ale pouvazuj na mojej otazke, tak ako som ju polozil. Podla mna, by to malo byt vo FW naopak, ako je to teraz. Terajsi stav popiera filozofiu automatickej obrany, pretoze vyzaduje aktivny pristup.

Editoval marioff (19. 6. 2018 9:25)

lubomir.kosper

Zdravím, takže sa nič nezmenilo. Celý čas hľadám ako (v .neon?) globálne zapnúť kontrolu CSRF vo všetkých formulároch, aby som nemusel ku každému new Form() pridávať $form->addProtection();.

Takže dobre tomu chápem, že nič také nie je?

Editoval lubomir.kosper (12. 4. 2021 15:33)