为网站实施 Google 自定义搜索时的 CSRF 保护
CSRF protection when implementing Google custom search for a website
我们是否需要对使用 google 自定义搜索的 html 表单实施 CSRF 保护?我觉得没有必要。如果我们需要它,我们应该怎么做?
实际上这不是必需的,但如果您想实施或需要有一个想法,这就是我要做的。
- 创建会话变量并将值传递给表单中的 UI。
- 让这个值隐藏在您的表单中。
- 当用户发布表单时,它会到达服务器。然后将隐藏值与会话变量进行比较。如果匹配,则向 google 服务器发出 curl 请求并获得响应。
我建议使用 curl 请求,因为如果您通过 javascript 执行此操作,则保持 CSRF 验证没有意义。
我们是否需要对使用 google 自定义搜索的 html 表单实施 CSRF 保护?我觉得没有必要。如果我们需要它,我们应该怎么做?
实际上这不是必需的,但如果您想实施或需要有一个想法,这就是我要做的。
- 创建会话变量并将值传递给表单中的 UI。
- 让这个值隐藏在您的表单中。
- 当用户发布表单时,它会到达服务器。然后将隐藏值与会话变量进行比较。如果匹配,则向 google 服务器发出 curl 请求并获得响应。
我建议使用 curl 请求,因为如果您通过 javascript 执行此操作,则保持 CSRF 验证没有意义。