Pour la protection CSFR, je l'ai remonté un cran plus haut dans le fichier main.inc.php juste après la protection injection sql car en sécurité, cela doit toujours se faire au plus tot, de plus en cas d'attaque, un simple return est fait, la aussi pour respecter une règle de base qu'il ne faut pas exécuter le moindre code en cas d'attaque. J'ai de plus ajouté une constante pour permettre a certaines pages de désactiver le test car il faut pouvoir y accéder depuis un lien. Exemple: La page de login...
> J'ai ajouté dans le main.inc : > > la vérification du REFERER afin de refuser les appels GET qui ne viennent > pas de la propre installation d'un serveur dolibarr. > > et la création et validation d'un jeton aléatoire qu'il faudra ajouter à > chaque requête POST afin de sécuriser les envois, il faudra ajouter cette > ligne dans le code à chaque formulaire POST : > > print '<input type="hidden" name="token" > value="'.$_SESSION['newtoken'].'">'; > > Régis > > > > _______________________________________________ > Dolibarr-dev mailing list > [email protected] > http://lists.nongnu.org/mailman/listinfo/dolibarr-dev > _______________________________________________ Dolibarr-dev mailing list [email protected] http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
