ich eine Website mit einer Reihe von verschiedenen Zugriffsebenen, von einfachen Benutzern bis zu Admin-Ebene (insgesamt 5) die Schaffungcsrf ... php Form Sicherheit
Manager und Admin Level haben die Möglichkeit, hinzufügen neue Benutzer auf einer Ebene gleich oder niedriger als sie sind, dies geschieht über ein Dropdown-Feld auf der CreateNewUser-Seite, ich habe bereits beschränkt, dass nur weniger als oder gleich zu ihrer eigenen Zugriffsebene zeigen ... aber .. Was ich versuche zu stoppen ist das ...
Benutzer lädt die Website, ruft eine Kopie des Formulars Formular die Quelle (einschließlich der CSRF-Token) erstellt ein einfaches HTML-Formular auf dem Desktop ändert die Zugriffsebene Einstellungen und sie könnten in der Tat sehr einfach eine Admin erstellen l evel Konto ...
ist es eine Möglichkeit, dies mit CSRF zu stoppen ... oder sollte ich vertrauen nur auf den Ursprung zu stoppen kommen von einem ‚off-Server‘ Quelle
Ich würde auch einige schätzen Tipps über die besten Praktiken bei der Einstellung des CSRF das wieder wett ...
es auf der Website auch andere Formen gibt, die so denke ich, das zu sein, braucht eine pro Formularlösung
prost ähnliche Funktionen haben ... ohh und halte es so einfach wie möglich :)
Prost, werde ich für diese Option gehen :) – Sandman112