1

Тема: Подозрение на атаку Cross-Site Request Forgery

Пытаюсь написать свой модуль и наткнулся на ошибку данного характера при попытке передать данные из формы в базу данных. Что это может быть?

Thumbs up Thumbs down

2

Re: Подозрение на атаку Cross-Site Request Forgery

Неправильно прописал путь в action.

Когда то разрабатывал модули для ImageCMS Corporate

3

Re: Подозрение на атаку Cross-Site Request Forgery

В форме добавте такой код   

{form_csrf()}
ImageCMS PHP Team Lead
https://github.com/imagecms/ImageCMS - ночные сборки корпорейта
https://scrutinizer-ci.com/g/imagecms/ImageCMS/badges/quality-score.png?b=development https://codeclimate.com/github/imagecms/ImageCMS/badges/gpa.svg

Thumbs up Thumbs down

4

Re: Подозрение на атаку Cross-Site Request Forgery

Куда именно добавить?

Thumbs up Thumbs down

5

Re: Подозрение на атаку Cross-Site Request Forgery

и как вообще прописывать путь на ImageCms я взял пример модуля и пытаюсь зделать аналогично, но увы чего-то не понимаю

Thumbs up Thumbs down

6

Re: Подозрение на атаку Cross-Site Request Forgery

Код добавить внутри формы которую отправляете.

Илья пишет:

и как вообще прописывать путь на ImageCms я взял пример модуля и пытаюсь зделать аналогично, но увы чего-то не понимаю

какой именно путь?

ImageCMS PHP Team Lead
https://github.com/imagecms/ImageCMS - ночные сборки корпорейта
https://scrutinizer-ci.com/g/imagecms/ImageCMS/badges/quality-score.png?b=development https://codeclimate.com/github/imagecms/ImageCMS/badges/gpa.svg

Thumbs up Thumbs down

7

Re: Подозрение на атаку Cross-Site Request Forgery

вот код формы tes.tpl:

<form id="form" method="post" action="" >
  <label for="name"> Input your name </label><br>
  <input name="name" type="text"><br>
  <label for="title"> Title </label><br>
   <input name="title" type="text"><br>
   <label for="message"> Message </label><br>
    <input name="message" type="text"><br> 
    <input type="submit" value="Load">
    </form>

Вот код admin.php:

<?php

(defined('BASEPATH')) OR exit('No direct script access allowed');


class Admin extends BaseAdminController {

   public function __construct() {
        parent::__construct();
      

    }
    
    public function index() {
       
             \CMSFactory\assetManager::create()
                   ->renderAdmin('tes');
      
       
    }

    public function insertTo() 
    {
        $data = array (
                'name' => $this->input->post('name'),
                'title' => $this->input->post('title'),
                'message' => $this->input->post('message')
        );
        
        $this->db->insert('mod_test', $data);
        
    
    }
    

}

что нужно прописать в action.
Возможно вопрос глупый, но я работаю только 2 день с imagecms

Thumbs up Thumbs down

8

Re: Подозрение на атаку Cross-Site Request Forgery

{$SELF_URL}/insertTo

Посмотрите как работают другие модули, вопросы отпадут

Когда то разрабатывал модули для ImageCMS Corporate

9

Re: Подозрение на атаку Cross-Site Request Forgery

<form id="form" method="post" action="" >
  <label for="name"> Input your name </label><br>
  <input name="name" type="text"><br>
  <label for="title"> Title </label><br>
   <input name="title" type="text"><br>
   <label for="message"> Message </label><br>
    <input name="message" type="text"><br> 
    <input type="submit" value="Load">
{form_csrf()}
    </form>
ImageCMS PHP Team Lead
https://github.com/imagecms/ImageCMS - ночные сборки корпорейта
https://scrutinizer-ci.com/g/imagecms/ImageCMS/badges/quality-score.png?b=development https://codeclimate.com/github/imagecms/ImageCMS/badges/gpa.svg

Thumbs up Thumbs down

10

Re: Подозрение на атаку Cross-Site Request Forgery

все ок, спасибо большое

Thumbs up Thumbs down

11 Отредактировано Михаил (06-07-2016 16:19:20)

Re: Подозрение на атаку Cross-Site Request Forgery

таже самая ошибка Подозрение на атаку Cross-Site Request Forgery.
причем в конфиге стоит

$config['global_xss_filtering'] = FALSE;

4.10 Corporate
когда из формы уходят на оплату на сайт платежной системы - и после оплаты платежная система возвращает на главную моего сайта - выходит ошибка . Подозрение на атаку Cross-Site Request Forgery.
{form_csrf()} не помогло
код шаблона tpl:
подскажите что не так в ней ?

<div class="wrap">
    <div class="sidebar">
        {include_tpl('/sidebars/sidebar_menu')}
    </div>
    <div class="content">
        <div class="content_bottom">
            <h2>{$page.title}</h2>
            {$page.full_text}

                                <div style="color: rgba(100,100,100,.9);">
<form class="yandex_pay_buttom" name=ShopForm method="POST" action="https://money.yandex.ru/eshop.xml" style="font-size: 14px;">
<!--<font face=tahoma size=2>-->

<input type="hidden" name="scid" value="55555">
<input type="hidden" name="ShopID" value="44444">


Номер заказа:<br>
<input type=text name="CustomerNumber" size="50" placeholder="Введите № Вашего заказа" style="color: rgba(100,100,100,.9);"><br><br>
Сумма:<br>
<input type=text name="Sum" size="50" placeholder="Введите Сумму Вашего заказа" style="color: rgba(100,100,100,.9);"><img src="https://site.ru/templates/houseFraming/images/rub.png" sty
le="position: relative; top: 5px;"><br><br>
ФИО плательщика:<br>
<input type=text name="CustName" size="50" placeholder="Введите Ваше Имя" style="color: rgba(100,100,100,.9);"><br><br>
E-mail:<br>
<input type=text name="CustEMail" size="50" placeholder="Введите Ваш e-mail" style="color: rgba(100,100,100,.9);"><br><br>
Содержание заказа:<br>
<textarea rows="10" name="OrderDetails" cols="51" style="color: rgba(100,100,100,.9);">За обслуживание</textarea><br><br>
<!--Способ оплаты:<br><br>-->
<input name="paymentType" value="PC" type="radio" checked="checked"/><img src="/templates/houseFraming/images/p2.png" style="position: relative; top: 7px;">
<input name="paymentType" value="AC" type="radio" /><img src="/templates/houseFraming/images/p3.png" style="position: relative; top: 7px;">
<input name="paymentType" value="SB" type="radio" /><img src="/templates/houseFraming/images/sb.png" style="position: relative; top: 7px;">
<input name="paymentType" value="AB" type="radio" /><img src="/templates/houseFraming/images/alfa.png" style="position: relative; top: 7px;">
<input name="paymentType" value="WM" type="radio" /><img src="/templates/houseFraming/images/wm.png" style="position: relative; top: 7px;"><br/>
<!--<input name="paymentType" value="GP" type="radio" />По коду через терминал<br/><br/>-->
<br/>
<input type=submit value="Оплатить *"><br><br>
<div style="font-size: 7px; text-transform: uppercase">* Нажимая кнопку Оплатить Вы соглашаетесь с условиями публичной <a href="/oferta.html" target="_blank">оферты</a> </div>
{form_csrf()}
</form>
                </div>
     </div>
    </div>
    <div class="sidebar">
        {include_tpl('/sidebars/sidebar_form')}
    </div>
    <div class="clear"></div>
</div>

в логе когда происходит возврат на сайт после оплаты с яндекс кассы

[01/Jul/2016:15:31:13 +0300] "POST / HTTP/1.0" 500 1269 "-" "Mozilla/5.0 (Windows NT 5.1; rv:30.0) Gecko/20100101 Firefox/30.0"

можно ли отключить проверку csrf только для этой платежной формы ?

Thumbs up Thumbs down