从版本3开始,protect提供自动CSRF保护。
Plone 4.3默认包含Plone。2.0保护。
我可以升级到在Plone 4.3中开始使用这个功能吗?
我对它只有一点经验,用过iphone。保护3。x和Plone 4.3.2,但没什么大不了的。
我也安装了很多插件,所以我不能说这是Plone本身的问题,还是一个插件。
这是我的笔记:
是的,你可以启用它,但是你的安装将停止工作。所以…不,你不能:-)
First plone.protect.aut 3.0默认处理每个POST/GET请求。例如,会话处理是一个写请求,所以你必须在使用它的地方手动修复它!
在注释中写入数据(IAnnotation),它在默认情况下也是受保护的,所以必须找到每个使用注释的地方(例如portlet存储)并修复它。
如果你的测试环境是在一个良好的形状:-)你会得到它的工作,但开箱即用的Plone 4.3还没有准备好使用它。
结论:
主要问题是GET请求,它最终导致数据库更改。我现在这是错误的,但Plone 4.3和/或主要的插件有这个行为。
你最终会通过一个白名单来扩展plone.protect.auto特性。
所有auto-csrf的东西都是我写的。我建议不要在Plone 4中使用它,除非你想在它上面投入大量时间。
修复在Plone 5上使用它的最简单方法是添加一些javascript,在登录时自动保护几乎所有内容。这不会处理ZMI,然后它依赖于javascript的工作。
JavaScript会做两件事:
- 将验证者令牌添加到所有发送回站点的表单
- 将认证令牌添加到所有可能对数据库进行写操作的管理url中。例如,"Edit"按钮对数据库进行写操作,因为在Plone 4中,AT Content Types在数据库中创建了一个临时对象。此外,它还支持写锁。
- 为所有ajax请求添加认证令牌。使用类似https://api.jquery.com/ajaxSend/的东西来添加令牌。