CodeIgniter의 CSRF 토큰 문제

Question

CodeIgniter에서 매우 이상한 CSRF 보호 문제가 있습니다. config_open을 사용하여 양식을 시작하고 csrf_protection을 config 파일에서 true로 설정했는지 확인하고 숨겨진 csrf 이름과 값 필드가 여기에 표시된대로 csrf 쿠키와 일치하는지 확인했습니다. http://d.pr/3cfB.

양식을 제출할 때 "오류가 발생했습니다. 요청한 동작이 허용되지 않습니다."라는 메시지가 나타납니다. 오류와 이유를 모르겠다. csrf_protection을 해제하면 양식이 제대로 작동합니다.

나의 인증에 tank_auth 라이브러리를 사용하고 로그인 폼에 form_open도 사용한다는 것이 더 이상한 것입니다. csrf_protection이 켜졌을 때 로그인 양식에 숨겨진 csrf 필드가 있는지 확인하고 양식을 제출하고 문제없이 로그인 할 수 있었는지 확인했습니다.

이 문제를 디버그하려면 어떻게해야합니까?

Answer 1

문제점을 발견했습니다. 내 사용자 지정 라이브러리 중 하나에서 나는 parent : _ sanitize_globals()를 가지고 있는데, 이는 분명 오류의 원인이었습니다. 어딘가에 xss 필터링을 켜 놓으면 전역을 위생 할 필요가 없습니다.

Answer 2

먼저 세션 클래스는 'csrf_salemarked_token $ ...'이 아닌 'csrf_token_name'이라는 토큰을 예상합니다.

이 블로그 게시물은 AJAX with CSRF Protection in Codeigniter 2.0을 다룹니다.

Tank_auth가 쿠키가 아닌 숨겨진 입력 양식 필드에서 토큰을 가져옵니다. AJAX 요청은 가능한 경우 숨겨진 필드에서 토큰을 가져와야하며, 폼이 없으면 쿠키를 가져와야합니다.