Csrf и внешние сервисы

Общие вопросы по использованию фреймворка. Если не знаете как что-то сделать и это про Yii, вам сюда.
Ответить
mitrich
Сообщения: 53
Зарегистрирован: 2012.09.03, 20:57

Csrf и внешние сервисы

Сообщение mitrich »

Привет всем.

Интересует концептуальный вопрос. Разрабатываю платежные модули. Как правило такой модуль получает POST от платежного сервиса. Если в моей апликухе включена проверка Csrf, то как правильно поступать (если по хорошему)? Просто отключать Csrf для конкретных action и на этом всё?

Спасибо.

Аватара пользователя
ElisDN
Сообщения: 5536
Зарегистрирован: 2012.10.07, 10:24
Контактная информация:

Re: Csrf и внешние сервисы

Сообщение ElisDN »

Да, просто отключить для действий. Сервисы всё равно передают сигнатуры и подделать их сложно.

А если боитесь отключать, то можно придумать какой-нибудь ключ и прописать его параметром в URL коллбэка в шлюзе:

Код: Выделить всё

/payment?key=adh34jwer
и CSRF отключать по if (Yii::app()->request->getQuery('key') == 'adh34jwer').

mitrich
Сообщения: 53
Зарегистрирован: 2012.09.03, 20:57

Re: Csrf и внешние сервисы

Сообщение mitrich »

спасибо!

Ответить