原始出處 http://www.xoops.org/modules/mediawiki/index.php/Dev:XoopsSecurity
從 XOOPS 2.0.10 版開始新增了一個處理安全性相關的類別XoopsSecurity。
這個類別可以在Xoops 核心與模組內使用,處理的方式是在表單中增加一個"token"。
如何運作?
這個方式是在輸入表單中增加一個由系統產生的一個獨特的、幾乎無法猜測的值保存在使用者的會談(session),並作為隱藏變量形式的token。當表單提交時,處理頁面可以檢查表單所提供的token 值是否相等於使用者會談中的值。如果不相同則回傳錯誤。
如何在我的模組中使用?
根據你模組的實作方式,共有以下幾種使用方式:
表單端
1) 使用XoopsForm 時複寫類別的建構式,輸入第五個參數– true,表示增加一個token,預設值false 表示在表單中不使用token。
2) 如果不使用XoopsForm 類別而直接將HTML 寫在PHP 或Smarty 樣版內的話,可以在HTML 中新增一個token 欄位並將值設定為$GLOBALS['xoopsSecurity']->getTokenHTML() – 這個函式會回傳XoopsFormHiddenToken::render() 的結果,可以在PHP 或是在樣版內指定給$xoopsTpl 的方式使用。
接收端
在接收端,可以呼叫$GLOBALS['xoopsSecurity']->check() 檢查token 是否正確,這個函式會在授權更改資料庫或類似動作之前回傳true 或false。
何時使用?
當你有會更改資料庫內容的表單時就使用。特別是這個表單只有讓有特別授權的使用者使用時。
我在我的網站中使用模組xxx 而這個模組沒有使用token。這個模組是不安全的嗎?
並沒有直接關係,雖然這個主題有相關的討論。如果透過檢查HTTP REFERER(XOOPS 預設使用)來決定連線是否來自自己的網域是可以阻擋一些惡意的攻擊。然而使用HTTP REFERER 檢查對你的使用者而言並不友善,因為使用者會因為你的網站而需要去更改他們的防火牆設定。使用token 可以讓你的網站更加堅固而不必使用referer 檢查。
| 