Cross Site Request Forgery.

วันนี้ได้ความรู้ใหม่เกี่ยวกับการทำ Cross site Request Forgery ตัวของ CakePHP (version 3.x) 

ในเอกสารของ CakePHP นั้นก็ได้เขียนไว้อ่านและเข้าใจง่ายขึ้น และได้ระบุเรื่อง CSRF กับ Ajax request ไว้ด้วย แต่ว่า ก็ไม่ได้บอกวิธีการเขียนโค้ดไว้ เพราะว่ามันเป็นเรื่องของ JS แหล่ะ ได้แต่ให้ไปทำอะไรคราวๆ ผมเลยมาบันทึกไว้ในกันลืม

เวลาเปิดใช้งาน csrfComponent แล้ว cakePHP มันจะถามหา token ทุก request ตลอดดังนั้นตอนทำ ajax เองก็เหมือนกันก็ต้องส่งไปด้วย แต่ว่าต้องมีการกำหนด X-CSRF-Token ที่ header request ก่อนและส่งข้อมูลชื่อ "_csrfToken" ไปด้วย อันนี้เป็น code jquery นะครับ ผมใช้วิธีนี้

1:  $.ajax({  
2:     'url': 'xxxx',  
3:    'header': {  
4:      'X-CSRF-Token': 'xxxxx - token here - xxxx'  
5:    },  
6:    'data': {  
7:      '_csrfToken': 'xxxx - token here - xxxx'  
8:    }  
9:  });