XenForo GET parametlerindeki _xfToken nedir?

CinarYilmaz

CinarYilmaz

Hectopat
Katılım
27 Ağustos 2020
Mesajlar
2.187
Çözümler
18
Yer
Istanbul
Daha once ismini degistirmis bir uyenin profiline girip (test etmek icin benim profilimi deneyebilirsiniz), sayfa tamamen yuklendikten sonra F12'ye basip Network bolumune girdikten sonra asagida resmini gordugunuz tusa bastigimizda Network bolumunde cikan linke girdim, ve URL'yi incelerken _xfToken diye bir sey oldugunu gordum. Anladigim kadariyla her seferinde bu yenileniyor, ve bu parametre olmadiginda site guvenlik hatasi veriyor. Bu tam olarak ne ise yariyor?
Tus:
1643213028075.png

Link:
1643213051431.png

Linkteki merak ettigim kisim:
1643213149276.png

Hassas bir bilgi olabilecegi icin tamamini yazmadim, yoksa cok daha uzun bir sey bu.
 
Tarihe göre sırala Puana göre sırala
CinarYilmaz dedi:
Daha once ismini degistirmis bir uyenin profiline girip (test etmek icin benim profilimi deneyebilirsiniz), sayfa tamamen yuklendikten sonra F12'ye basip Network bolumune girdikten sonra asagida resmini gordugunuz tusa bastigimizda Network bolumunde cikan linke girdim, ve URL'yi incelerken _xfToken diye bir sey oldugunu gordum. Anladigim kadariyla her seferinde bu yenileniyor, ve bu parametre olmadiginda site guvenlik hatasi veriyor. Bu tam olarak ne ise yariyor?
Tus:
Eki Görüntüle 1283379
Link:
Eki Görüntüle 1283381
Linkteki merak ettigim kisim:
Eki Görüntüle 1283386
Hassas bir bilgi olabilecegi icin tamamini yazmadim, yoksa cok daha uzun bir sey bu.
Genişletmek için tıkla...
Bu bir CSRF tokendir. Size kısaca özet geçeyim.

CSRF Nedir?
CSRF => Cross Site Request Forgery
Yani siteler arası istek sahtekarlığı demektir.

Örneğin siz bir sosyal medyaya üye oldunuz ve bu sayfada CSRF güvenlik açığı bulunmakta. Siz bu sosyal medyadan çıktınız ve X(zararlı) sitesine girdiniz. X sitesi sizin bilgisayarınız üzerinden istek yaparak sizin hesabınızda paylaşımda bulunabilir. Çünkü bir daha siteye girdiğinizde şifrenizi yazmamanız için siz oturum açtığınız an oturum bilgileriniz sisteminiz üzerinde depolanıyor.

CSRF'den Nasıl Kurtulurum?
Sitenizde isteğin sizin siteden geldiğine dair bir imza olmalıdır. Buna CSRF token diyoruz. CSRF tokenlar genel olarak tek kullanımlıktır ve size verildiği andan itibaren belli bir süre ile geçerlidir. Bu yüzden bazı sitelerde "Oturum süreniz doldu." diye bir hata alırsınız ve sayfayı yenilemeniz gerekir.

CSRF Token Günümüzde Gerekli mi?
Yeni nesil tarayıcları düşünürsek CSRF token önemini biraz yitirmiş sayılır. Artık CORS var. CORS sayesinde bir site üzerinden size izinsiz istek gelmiyor. Siz istediğiniz domainlere izin veriyorsunuz. Fakat bu asla ve asla CSRF token'ın gereksiz olduğunu ve olmasa da olur statüsüne indiğini göstermez. Zira CORS desteği olmayan tarayıcılar da mevcuttur.
 
Artı 0 Eksi

Benzer konular

humasettinozlecik
XenForo nedir?
Mesaj
8
Görüntüleme
3.213
deniz@
deniz@
E
Xenforo AMP eklentisi
Mesaj
3
Görüntüleme
3.307
Recep Baltaş
Recep Baltaş
Erd3m
XenForo Bildirimler
Mesaj
5
Görüntüleme
975
Erd3m
Erd3m
denizsevim
XenForo 2.2 Ne Zaman Çıkacak?
Mesaj
2
Görüntüleme
675
384311
3
ahmetlutfu
Xenforo Türkçe URL Sorunu ve Çözümü
Mesaj
0
Görüntüleme
1.201
ahmetlutfu
ahmetlutfu

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı