Magento CSRF 保护

2024-04-25

我正在 Magento 中查看自定义表单。我看到了这些教程

http://fastdivision.com/2012/03/29/diy-magento-create-ajax-login-registration-forms-for-your-magento-theme/ http://fastdivision.com/2012/03/29/diy-magento-create-ajax-login-registration-forms-for-your-magento-theme/

http://inchoo.net/ecommerce/magento/magento-email/magento-custom-email-contact-form-with-notification-system/ http://inchoo.net/ecommerce/magento/magento-email/magento-custom-email-contact-form-with-notification-system/

我没有看到任何提及 CSRF 预防的内容，例如使用存储在用户会话中的令牌检查客户端令牌。我还查看了 Magento 联系我们表单，并看到了此内容，但我认为它与 CSRF 无关：

<input type="text" name="hideit" id="hideit" value="" style="display:none !important;">

Magento 有任何默认代码来防止 CSRF 吗？ Mage_Core_Controller_Front_Action 的 $this->getRequest()->getParams() 方法是否会自动执行任何操作来防止我可能丢失的 CSRF？

其实有一个前端CSRF 令牌验证 https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#General_Recommendation:_Synchronizer_Token_PatternMagento 中的方法，您可以使用将唯一的基于会话的表单密钥添加到自定义表单中，并在控制器的操作中验证它。

要在提交表单时随请求发送 CSRF 表单密钥，请插入<?php echo $this->getBlockHtml('formkey') ?>代码到表单的主体中。

这将生成如下输入：<input type="hidden" value="unique16codehere" name="form_key">。要验证密钥，请使用_validateFormKey()相应控制器操作中的方法。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Magento CSRF 保护的相关文章

PHP set_include_path 的“起点”是什么

在 PHP 中 set include path 相对于什么它是 PHP exe 所在的文件夹吗是网络根吗换句话说 set include path 或 set include path 指的是哪个文件夹相对路径是从文件所在位置解析
将数据插入多个表 PHP MySQL

我有一个用于存储食谱的基本数据结构它由三个表组成如下所示表 1 食谱 recipe id recipe name 表 2 成分成分 ID 成分名称表 3 配方成分配方 id 成分 id 我在添加新配方时遇到问题想知道插入的最
mysqli_result 无法转换为 int [重复]

这个问题在这里已经有答案了我想将 SQL COUNT 的结果存储在变量中然后将它们相除但是出现错误注意类 mysqli result 的对象在中无法转换为 int countrows SELECT count AS NumRow
Wordpress 数组显示特定类别的帖子并显示帖子摘录和功能

大家好正在寻找 WordPress 帮助我需要放置一个简单的查询数组来显示来自某只猫的帖子例如新闻其中将包含帖子特色图像有人可以帮忙吗 Gary Try this a href title a
在 PHP 中显式声明属性重要吗？

我按照教程用 PHP 创建了一个简单的博客写作应用程序并修改了本教程中的类以便它们具有附加功能修改这个非常简单的应用程序让我更好地了解了 PHP 的工作原理但是我遇到了一个有趣的情况我的项目中的一个类有大约六个类属性例如publ
如何在 Jboss 7.1 中配置简单身份验证

我正在从事由以下人员编写的项目纯jsps 脚本不使用任何框架 jboss版本 jboss as 7 1 0 Final 我现在正在尝试在其上添加简单的身份验证因此当用户尝试浏览 jsp 时比如说 http localhost myC
Laravel 5.4 上传原始文件名和扩展名

通过表单提交文件时如何将原始文件名 file jpg 上传到数据库控制器 public function addCv Request request cv Cv create request gt all file request gt
将数组写入文件的最佳方法？ [关闭]

Closed 这个问题是基于意见的 help closed questions 目前不接受答案我想避免写入数据库并使用常量数组作为 lang 文件等 i e lang array hello gt hello world 并能够从后台编
php中的可变长度数据包

我正在接收通过 UDP 发送到我的服务器的数据包我正在使用 socket read 来读取数据它运行得很好但是我遇到了一个错误在我的例子中 socket read 的长度参数并不总是相同的数据长度的范围可以是 50 150 字节
.htaccess 只允许访问包含文件

我的网站上有各种子文件夹我希望用户无法通过 URL 访问它们但同时我的主要 PHP 文件能够包含它们或将它们用作表单或链接上的操作我尝试使用 htaccess 与
PHP：如何删除“[”和“]”之间的字符串

我需要删除内的字符串包括本身我尝试从该网站寻找解决方案我有一个线索我应该尝试使用 preg replace 进行一些操作但它对我来说似乎太专业了例如 gallery ids 92 93 94 95 96 97 98 99 1
应用程序在 JSON jparser 发出 http 请求时崩溃

您好我使用本教程连接到网络或本地的 mySQL 数据库 here http www androidhive info 2012 05 how to connect android with php mysql 虽然所有服务器端 php 文
流浪家园慢

我有一个基于 Laravel Homestead 的 vagrant 服务器用于在本地测试我的 Laravel 站点大部分情况下它运行得很好然而最近我遇到了问题它会停止几分钟典型到几个小时罕见这种情况每 15 分钟左右就
弹出窗口显示来自 php 和 javascript 的结果

我正在尝试实现 javascript 来显示 php 的结果基本上我有一个登录页面对于登录失败我希望结果显示在弹出窗口中而不是仅仅用 php 回显它们我尝试实现警报框但看起来我错过了一些东西成功登录将被重定向到logged
如何在PHP中设置文本文件编码？

如何在 PHP 中设置文本文件编码例如 UTF 8 让我告诉你我的问题这是我的代码 Output fwrite 具有类似的输出但是当我创建test txt通过记事本并设置字符集UTF 8输出就是我想要的我想在 PHP 文件中设置字符
PHP 变量无法使用 json_encode() 正确返回成功 AJAX/jQuery POST

我已经尝试了几个小时才能让它发挥作用我有一个 div 标签和一个hidden input field我想使用 AJAX 进行更新这div标签如下 div class friends tab list div div
单击时获取按钮值并回显它

我是 php 的初学者我的第一个任务是构建一个计算器我在这里询问如何从按钮获取值并在同一页面上回显它我正在尝试使用 isset 通过方法发布但能够在同一页面上显示任何值
PHP include()：文件大小和性能

一个没有经验的PHP问题我有一个 PHP 脚本文件我需要在不同页面的很多地方多次包含该文件我可以选择将包含的文件分解为几个较小的文件并根据需要包含这些文件或者我可以将它们全部保存在一个 PHP 文件中我想知道在这种情况下使用较
扫描图像到可读文本

我想知道是否有一种方法可以通过编写代码来将带有文本的扫描图像转换为可读文本那可能吗 OCRTools http www ocrtools com是我用于 net 的对于Java 我用过Aspire http asprise com pr
ZipArchive::extractTo 不创建 zip 文件名称的子目录

我有一个名为myzip zip 它包含 myzip file1 png and myzip subdirectory file2 png 我希望将其提取到 home me somedirectory所以我尝试 zip gt extractT

随机推荐

初始化一个结构，其成员是另一个结构的数组[重复]

这个问题在这里已经有答案了 I have include
为什么 foreach 找不到我的 GetEnumerator 扩展方法？

我正在努力使一些代码更具可读性例如foreach var row in table 而不是foreach DataRow row in table Rows 为此我创建了一个扩展方法 namespace System Data publ
从 ScanResult 构造 WifiConfiguration 或：解释 ScanResult 的“功能”字符串

你们中的 Android 专家知道任何开源代码来创建一个WifiConfiguration http developer android com reference android net wifi WifiConfiguration ht
计算 .NET 程序集中 RVA 的文件偏移量

我正在尝试使用可选标头计算 CLI 标头文件偏移量我手动检查了示例 NET 程序集并注意到可选标头为我提供了 CLI 标头的 RVA 即0x2008CLI 标头的文件偏移量是0x208 如何计算 RVA 中的文件偏移量谢谢 PE 文件
集合的“toArray”是确定性的吗？

显然集合没有任何类型的排序所以如果我这样做的话我不能期望任何特定的排序 String string mySet toArray 然而我面临着一个用例我不关心字符串数组的顺序但我确实需要这样的情况如果两个集合彼此相等那么 St
该对象是一个整型。我可以用不到五行代码获得它的值吗？

我有一个数据阅读器我想将其中的值与值 42 进行比较我知道它是一个整数类型例如 MySQL 称之为INT TINYINT SMALLINT MEDIUMINT BIGINT JUMBODELUXEINT ETC 我不想将实际类型硬连接
#1227 - 访问被拒绝；您需要（至少一项）超级权限才能执行此操作

您好我目前遇到 MySQL 问题这里出了什么问题我是一个cPanel用户是的我已经搜索过这个但没有找到明确的答案看来这比其他具有相同错误代码问题的人更具体请添加详细的回复我可以跟进 P s 我使用的是共享托管帐户 DELI
如何让多个div改变一个div的背景图片

我有一个 div 作为网站的横幅标题图像该图像最初将显示房屋的图片横幅还将有 6 个 div 作为按钮当用户将鼠标悬停在每个 div 上时它会将标题的背景图像更改为代表每个页面的不同图像这是我到目前为止的代码 Fiddle ht
为什么 Visual Studio 2013 会发出 C4996 错误？

在 Visual Studio 的早期版本中使用 sleep 或 strncpy 等函数只会输出警告最新版本突然报错错误 C4996 sleep 此函数或变量已被取代通过较新的库或操作系统功能考虑使用而是睡觉详情请参见在线帮助
为什么我的全局 .gitignore 文件没有被忽略？

cat gitconfig core editor vim excludefiles home augustin gitignore cat gitignore toto mkdir git test cd git test git ini
使用 Webpack 波形符别名时通过 Vim 中的“gf”解析 JavaScript 模块

我是使用波浪号的 Vue js 项目的新成员模块导入中的符号如 import WhateverApi from api whatever 项目存储库包含所有类型的文件 Vagrant 机器 Laravel 后端应用程序配置文件和 Vu
不兼容的类型：对象无法转换为 Diff

我有这个 Java 方法他用它来比较数据 org apache commons lang3 builder Diff public void addChangedPositions DiffrentResult diffrentResul
相当于ContinueWith(delegate, CancellationToken) 与await 继续

我有这样的情况 private Task LongRunningTask Something private void DoSomethingMore Task previousTask public Task IndependentlyC
PHP 通过剪切 x 个字符后最后一个空格的字符串来进行摘录

如果字符串长度超过 110 个字符我会尝试从长文本中进行摘录同时删除最后一个空格之后的所有内容 string a if mb strlen string gt 110 pos mb strpos string 110 excerpt r
UTF-16 十六进制解码 NodeJS

我正在尝试将 UTF 16 十六进制 Hello 世界解码为 NodeJS 中的字符串我尝试通过从十六进制创建缓冲区来做到这一点 let vari new Buffer from 00 48 00 65 00 6C 00 6C 00 6
在 C++ 项目中使用 mysql_query 进行多个查询

因此这不适用于 mysql query 我严格使用 C 不使用 php 我希望执行这个双重查询以便我在并发用户创建 ID 的事务系统中始终拥有唯一的 ID mysql query connection INSERT INTO User
MariaDB 服务器在 600 秒后客户端连接超时

我的 MariaDB 服务器在 600 秒 10 分钟不活动后使我的 C 客户端使用 libmariadb 超时我不确定为什么因为我找不到任何指定该数字的已配置超时这是我的代码我在其中执行一个简单的 SELECT 查询等待 1
如何制作通用的jpa存储库？我应该这样做吗？为什么？

我是堆栈溢出的新手并且正在使用 hibernate 和 mysql 处理 spring jpa 数据我为每个实体类创建了一个 JpaRepository 但现在我觉得我应该对所有实体使用一个存储库因为我所有的存储库都有通用的 CRUD
比较枚举的最佳方法[重复]

这个问题在这里已经有答案了例如我有一个枚举enum Color Red Brown 我还有一些该类型的变量 Color c1 Brown c2 Red 与恒定值进行比较的最佳方法是什么 if c1 Color Brown is brow
Magento CSRF 保护

我正在 Magento 中查看自定义表单我看到了这些教程 http fastdivision com 2012 03 29 diy magento create ajax login registration forms for your

Magento CSRF 保护

Magento CSRF 保护 的相关文章

随机推荐

热门标签

Magento CSRF 保护的相关文章