Привет всем.
Интересует концептуальный вопрос. Разрабатываю платежные модули. Как правило такой модуль получает POST от платежного сервиса. Если в моей апликухе включена проверка Csrf, то как правильно поступать (если по хорошему)? Просто отключать Csrf для конкретных action и на этом всё?
Спасибо.
Csrf и внешние сервисы
Re: Csrf и внешние сервисы
Да, просто отключить для действий. Сервисы всё равно передают сигнатуры и подделать их сложно.
А если боитесь отключать, то можно придумать какой-нибудь ключ и прописать его параметром в URL коллбэка в шлюзе:
и CSRF отключать по if (Yii::app()->request->getQuery('key') == 'adh34jwer').
А если боитесь отключать, то можно придумать какой-нибудь ключ и прописать его параметром в URL коллбэка в шлюзе:
Код: Выделить всё
/payment?key=adh34jwer
Re: Csrf и внешние сервисы
спасибо!