Manejo de tokens CSRF en páginas más largas que el límite de sesión de PHP

Navega tus respuestas
1

Tengo una página que está abierta (es decir, no requiere inicio de sesión) y permite a los usuarios dar comentarios rápidos. Esta página está disponible en una sola PC o tableta compartida. El formulario en sí tiene un token CSRF.

El problema es que el tiempo entre las personas que envían respuestas puede ser más largo que el tiempo de sesión de PHP. Las soluciones parecen ser:

  1. usando una meta actualización para recargar la página cada 15 minutos (se podría actualizar mientras que alguien estaba dando comentarios, así que no es genial)
  2. elimine la protección del token CSRF (reduciendo así la seguridad)
  3. agregar un temporizador javascript en la página para recargar la página solo después de 15 minutos o sin entrada del mouse o teclado.

¿Hay otra forma de lidiar con esto?

    
pregunta williamsdb 01.07.2015 - 17:22
fuente

1 respuesta

0

Dado que la página está antes del inicio de sesión y tiene un bajo riesgo, tomé el consejo de @sliverlighFox y eliminé el CSRF del formulario que resuelve el problema.

    
respondido por el williamsdb 02.07.2015 - 10:22
fuente

Lea otras preguntas en las etiquetas

Vulnerabilidad NTP: ¿La amplificación del tráfico en la función de clrtrap de ntpd afecta o no afecta al dispositivo de Cisco? VOIP: manipulación de datos RTP [cerrado]