8
Tengo un problema con los formularios enviados con ajax. Hago mis formularios con Zend Framework. Algunas son formas reales, así que agrego un elemento Hash. Otros son para operaciones pequeñas (como upvote y downvote aquí) entonces los hago con enlaces.token de CSRF para ajax
Mi problema es que necesito utilizar ajax especialmente para las formas pequeñas (los enlaces). Veo muchas preguntas pero nada lo suficientemente amplio como para resolver el problema. ¿Hay una descripción detallada sobre cómo lograr que el token csrf funcione sin problemas cuando los formularios se envían a través de ajax? preferiblemente con Zend Framework, pero las respuestas generales de PHP también lo ayudarán.
Leí sobre el encabezado REQUESTED_WITH en esta pregunta http://stackoverflow.com/questions/3664044/anti-csrf-token-an d-javascript/3665136 # 3665136 pero los comentarios de Rook (y la respuesta en sí) dicen que no es realmente seguro. Entonces, si lo uso, creo que aún necesito agregarle "algo más". ¿Cual es tu opinion? – samquo
@samquo jaja Me gusta cómo mi nombre aparece mucho en la seguridad SO. Pero es cierto, si marca x_requested_with unexploitable debido a la misma política de origen para XHR. – rook
Por cierto, es posible que desee observar un comportamiento diferente al de confiar en REQUESTED_WITH: ambos Rails y Django se han actualizado recientemente para dar cuenta de las instancias en las que eso puede no ser una protección suficiente. Aquí están las notas de Django sobre su actualización: http://is.gd/JLBrfL No estoy seguro de cómo lograr eso con Zend, sin embargo :) Encontré esto mientras buscaba CSRF y AJAX. – Rob