سوال در مورد csrf
سلام
1.ظاهرا یک متد جدید که مکمل گننده csrf هم هست استفاده میشه به نام httpOnly اینم توضیح میدید تو دوره؟
2.فایلی که توکن رو به صورت رندوم تولید میکنه چگونه در پیج مقصد تشخصی میده که این توکن همون توکن رندوم هست که از طرف اون صفحه تنظیم شده؟
1 - http_only برای این استفاده میشه که اگه true باشه به مرورگر اجازه نمیده با استفاده از جاواسکریپت به اطلاعات کوکی دسترسی پیدا کنه ...این متد ربطی به csrf نداره و خیلی وقت هستش که برای cookie میشه این و ست کرد که به صورت پیش فرض روی لاراول هم true هستش ... داخل فایل config/session.php میتونید این گزینه رو مشاهده کنید .
2 - ببینید به این صورت هستش که زمانی که شما وارد یک سایت لاراولی میشید یک session برای شما ایجاد میشه که داخلش همین توکن نگه داری میشه .. حالا زمانی که شما میخواید فرم ارسال کنید سمت سرور باید اون توکن رو هم ارسال کنید به سمت سرور ... زمانی که شما فرم رو ارسال میکنید لاراول اون فرمی که ارسال کردید رو قرار میده در کنار اون session که از شما ذخیره کرده و این ۲ تا رو با هم مقایسه میکنه ...
