|
You last visited: Today at 03:20
Advertisement
Token Header Abfrage
Discussion on Token Header Abfrage within the Web Development forum part of the Coders Den category.
11/10/2018, 00:45
|
#1
|
elite*gold: 0 
Join Date: Mar 2011
Posts: 419
Received Thanks: 17
|
Token Header Abfrage
Hi,
ich möchte meinen Token für jeden Ajax Request mitsenden.
Jetzt habe ich 2 Fragen dabei.
1. Habe ich es so überhaupt richtig gemacht?
2. Wie kann ich es überprüfen ob der Token valid ist?
Bsp.
if($token != $jsToken) {
....
}
fetch_data.php
PHP Code:
<?php
if (empty($_SESSION['token'])) {
if (function_exists('mcrypt_create_iv')) {
$_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}
}
$token = $_SESSION['token'];
?>
<script src="../../../js/jquery.min.js"></script>
<meta name="csrf-token" content="<?= $token; ?>"/>
<div id="output-data">
</div>
<form method="POST">
<input type="text" name="name" class="name">
<button type="submit" class="send">Senden</button>
</form>
<script>
$(document).ready(function() {
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
$('.send').on('click', function(e) {
e.preventDefault();
var name = $('.name').attr('value');
$.ajax({
type: 'POST',
method: 'POST',
data: {name:name},
url: 'name.php',
success: function(data) {
$('#output-data').html(data);
}
});
});
});
</script>
name.php
PHP Code:
echo $_POST['X-CSRF-TOKEN'];
// Zeigt mir Undefined X-CSRF-TOKEN an //
|
|
|
|
11/10/2018, 10:55
|
#2
|
elite*gold: 0
Join Date: Apr 2011
Posts: 11,115
Received Thanks: 2,436
|
Da du oft Sachen fragst und ich nicht immer direkt die Lösung sagen will...
Was hast du alles schon getestet ?
Hast du geprüft ob der Header auch beim request drangehangen wird (mittels dev-tools im Browser) ?
Hast du geprüft ob dein "$('meta[name="csrf-token"]').attr('content')" wirklich den csrf-token ausgibt ?
Ebenso solltest du dir mal die basics anschauen was genau $_POST enthalten kann und was nicht :P
|
|
|
|
|
11/10/2018, 22:32
|
#3
|
elite*gold: 0
Join Date: Mar 2011
Posts: 419
Received Thanks: 17
|
Quote:
Originally Posted by .ƒaℓsє.
Da du oft Sachen fragst und ich nicht immer direkt die Lösung sagen will...
Was hast du alles schon getestet ?
Hast du geprüft ob der Header auch beim request drangehangen wird (mittels dev-tools im Browser) ?
Hast du geprüft ob dein "$('meta[name="csrf-token"]').attr('content')" wirklich den csrf-token ausgibt ?
Ebenso solltest du dir mal die basics anschauen was genau $_POST enthalten kann und was nicht :P
|
Hi, danke erstmal für die Antwort.
Also er gibt den csrf-token aus, jedoch weiß ich nicht wie ich mittels Dev-Tools im Browser schauen kann ob der Header per Request gesendet wird
|
|
|
|
|
11/10/2018, 22:43
|
#4
|
elite*gold: 0
Join Date: Apr 2011
Posts: 11,115
Received Thanks: 2,436
|
Quote:
Originally Posted by Cc_Cc_Cc
Hi, danke erstmal für die Antwort.
Also er gibt den csrf-token aus, jedoch weiß ich nicht wie ich mittels Dev-Tools im Browser schauen kann ob der Header per Request gesendet wird
|
Schon bei google gesucht ?
Bei Firefox ist es F12 -> Netzwerkanalyse -> Auf den Request klicken -> Rechts im Fenser die Headers durchschauen.
|
|
|
|
|
11/10/2018, 23:06
|
#5
|
elite*gold: 0
Join Date: Mar 2011
Posts: 419
Received Thanks: 17
|
Quote:
Originally Posted by .ƒaℓsє.
Schon bei google gesucht ?
Bei Firefox ist es F12 -> Netzwerkanalyse -> Auf den Request klicken -> Rechts im Fenser die Headers durchschauen.
|
Ja der wird mitgesendet.
Jetzt muss ich ja nur noch eine Überprüfung machen nur weiß ich nicht wie sowas gehen soll ich sende ja keine "datas" mit.
|
|
|
|
|
11/11/2018, 00:35
|
#6
|
elite*gold: 0
Join Date: Apr 2011
Posts: 11,115
Received Thanks: 2,436
|
Quote:
Originally Posted by Cc_Cc_Cc
Ja der wird mitgesendet.
Jetzt muss ich ja nur noch eine Überprüfung machen nur weiß ich nicht wie sowas gehen soll ich sende ja keine "datas" mit. |
Wie du evtl. schon gelesen hast befinden sich in $_POST nur Sachen die durch ein POST Request als params mitgeschickt wurden.
Da du den Token aber als HEADER geschickt hast musst du auch diesen auslesen, wie das geht solltest du durchs googeln sehr fix finden (z.B. "php read request header").
|
|
|
|
|
11/11/2018, 13:55
|
#7
|
elite*gold: 0
Join Date: Mar 2011
Posts: 419
Received Thanks: 17
|
Quote:
Originally Posted by .ƒaℓsє.
Wie du evtl. schon gelesen hast befinden sich in $_POST nur Sachen die durch ein POST Request als params mitgeschickt wurden.
Da du den Token aber als HEADER geschickt hast musst du auch diesen auslesen, wie das geht solltest du durchs googeln sehr fix finden (z.B. "php read request header").
|
Danke genau das hab ich gesucht
Kurze Frage noch: Wenn ich jetzt beim jedem Request den Token mitsende, bin ich dann geschützt vor jegliche CSRF Angriffe oder muss ich noch was beachten? Musst mir keine Lösung geben aber will nur wissen ob das reicht oder noch etwas fehlt
|
|
|
|
 |
Similar Threads
|
[FIX] Phase Game does not handle this header (header: 81, last: 45, 81)
10/16/2017 - Metin2 PServer Guides & Strategies - 2 Replies
Hello,
I'd like to share a fix for "Phase Game does not handle this header (header: 81, last: 45, 81)".
This error usually happens when players on low-lvl characters teleporting between different maps (as far I noticed this also happens only on wireless connection).
At least these symptoms were on my server.
Let's start ;)
|
Phase Select does not handle this header (header: 18, last: 17, 18)
08/22/2016 - Metin2 Private Server - 1 Replies
Hello, i have error: Phase Select does not handle this header (header: 18, last: 17, 18) Can you say me in which structure i have this error? I cant login into game.
packet client:
#pragma once #ifdef USE_AHNLAB_HACKSHIELD #include "Hackshield.h" #include - Pastebin.com
packet game:
#ifndef __INC_PACKET_H__ #define __INC_PACKET_H__ enum { HEADER_CG_HANDSH - Pastebin.com
|
Wich Header is better? / Welcher Header ist besser?
10/05/2012 - General Art - 5 Replies
Hello Com,
wich header is better?
My site is about Anonymize your links.
Hallo Com,
welcher header ist besser?
Meine Seite Anonymisiert die links.
|
Suche Header für Homepage / Search Header
04/29/2012 - Artist Trading - 2 Replies
Hey Leute,
Ich suche einen neuen Header für meine ClanHomepage
wichtig ist :
Breite: 958 Pixel
Höhe: 188 Pixel
Dateiformat: .jpg
Name: eVolution of Gaming Series (bitte den Namen in den Header reintun)
|
css wie mach ich ein header und vom header der hintergrund z.B blau
11/14/2010 - Coding Tutorials - 2 Replies
Hallo leute meine Frage kann man kaum erklären ich will nen Header
z.B
http://web85.germaninfo29.erfurt16.de/ebay/ftp_bi lder/header_moeller_1220_358.jpg
also da steht traum company aber ich will in mein Header jetz Traum company und dann nur für denn Header ein blauen hintergrund also
|
All times are GMT +1. The time now is 03:21.
|
|
