Token Header Abfrage

11/10/2018 00:45 Cc_Cc_Cc#1
Hi,

ich möchte meinen Token für jeden Ajax Request mitsenden.

Jetzt habe ich 2 Fragen dabei.

1. Habe ich es so überhaupt richtig gemacht?

2. Wie kann ich es überprüfen ob der Token valid ist?


Bsp.


fetch_data.php


name.php
11/10/2018 10:55 False#2
Da du oft Sachen fragst und ich nicht immer direkt die Lösung sagen will...

Was hast du alles schon getestet ?
Hast du geprüft ob der Header auch beim request drangehangen wird (mittels dev-tools im Browser) ?
Hast du geprüft ob dein "$('meta[name="csrf-token"]').attr('content')" wirklich den csrf-token ausgibt ?

Ebenso solltest du dir mal die basics anschauen was genau $_POST enthalten kann und was nicht :P
11/10/2018 22:32 Cc_Cc_Cc#3
Quote:
Originally Posted by .ƒaℓsє. View Post
Da du oft Sachen fragst und ich nicht immer direkt die Lösung sagen will...

Was hast du alles schon getestet ?
Hast du geprüft ob der Header auch beim request drangehangen wird (mittels dev-tools im Browser) ?
Hast du geprüft ob dein "$('meta[name="csrf-token"]').attr('content')" wirklich den csrf-token ausgibt ?

Ebenso solltest du dir mal die basics anschauen was genau $_POST enthalten kann und was nicht :P
Hi, danke erstmal für die Antwort.

Also er gibt den csrf-token aus, jedoch weiß ich nicht wie ich mittels Dev-Tools im Browser schauen kann ob der Header per Request gesendet wird
11/10/2018 22:43 False#4
Quote:
Originally Posted by Cc_Cc_Cc View Post
Hi, danke erstmal für die Antwort.

Also er gibt den csrf-token aus, jedoch weiß ich nicht wie ich mittels Dev-Tools im Browser schauen kann ob der Header per Request gesendet wird
Schon bei google gesucht ?
Bei Firefox ist es F12 -> Netzwerkanalyse -> Auf den Request klicken -> Rechts im Fenser die Headers durchschauen.
11/10/2018 23:06 Cc_Cc_Cc#5
Quote:
Originally Posted by .ƒaℓsє. View Post
Schon bei google gesucht ?
Bei Firefox ist es F12 -> Netzwerkanalyse -> Auf den Request klicken -> Rechts im Fenser die Headers durchschauen.
Ja der wird mitgesendet.

[Only registered and activated users can see links. Click Here To Register...]

Jetzt muss ich ja nur noch eine Überprüfung machen nur weiß ich nicht wie sowas gehen soll ich sende ja keine "datas" mit.
11/11/2018 00:35 False#6
Quote:
Originally Posted by Cc_Cc_Cc View Post
Ja der wird mitgesendet.

[Only registered and activated users can see links. Click Here To Register...]

Jetzt muss ich ja nur noch eine Überprüfung machen nur weiß ich nicht wie sowas gehen soll ich sende ja keine "datas" mit.
Wie du evtl. schon gelesen hast befinden sich in $_POST nur Sachen die durch ein POST Request als params mitgeschickt wurden.

Da du den Token aber als HEADER geschickt hast musst du auch diesen auslesen, wie das geht solltest du durchs googeln sehr fix finden (z.B. "php read request header").
11/11/2018 13:55 Cc_Cc_Cc#7
Quote:
Originally Posted by .ƒaℓsє. View Post
Wie du evtl. schon gelesen hast befinden sich in $_POST nur Sachen die durch ein POST Request als params mitgeschickt wurden.

Da du den Token aber als HEADER geschickt hast musst du auch diesen auslesen, wie das geht solltest du durchs googeln sehr fix finden (z.B. "php read request header").
Danke genau das hab ich gesucht

Kurze Frage noch: Wenn ich jetzt beim jedem Request den Token mitsende, bin ich dann geschützt vor jegliche CSRF Angriffe oder muss ich noch was beachten? Musst mir keine Lösung geben aber will nur wissen ob das reicht oder noch etwas fehlt