Token via Javascript

  • Jo, Du hast recht, ich habe mich verlesen.

    Aber auch das wäre genau genommen überflüssig, weil bei einem leeren $_POST['csrf_token'] das hash_equals() auch false liefern würde.

    Ja, allerdings würde man dann immer eine Notice: Undefined Index bekommen.


    selection Du musst natürlich auch den Namen deines Formularfeldes mit dem Token entsprechend anpassen.

  • Ja, allerdings würde man dann immer eine Notice: Undefined Index bekommen.

    Wenn wir bei dem kurzen Scriptauszug bleiben, gebe ich Dir recht.

    Ich gehe aber mal davon aus, dass in dem kompletten Script sowieso zuvor geprüft wird, ob das Formular gesendet wurde, dann kann an der Stelle der POST-Wert nicht leer sein. Falls doch, sollte das Formular von Grund auf überprüft werden.

  • Für gewöhnlich kommt der "CSRF-Check" vor der Verarbeitung des Formulars. Wozu überprüfen, ob das Formular abgesendet wurde, wenn es sich eh um einen Zugriff von außen handelt? Dann kann man sich das gleich sparen.


    Aber gut, das sind Kleinigkeiten, die hier jetzt kein Thema sind.