Comments (12)
https://observatory.mozilla.org und die empfohlenen Schritte beim Hoster durchführen. Erlaubt es das Hosting nicht, dann hier.
from tricks.
https://addons.mozilla.org/en-US/firefox/addon/laboratory-by-mozilla/
from tricks.
Aus Slack:
@dergel
csrfprotection, schütz einem davor, dass man einen link/formular untergejubelt bekommt, welcher dann irgendeine aktion ausführt.. Das gilt allgemeine für Formulare und auch für Links (z.B. delete Links) .. d.h. es nicht alles muss man mit eine csrf_token versehen, sondern nur fälle, die etwas verändern.. z.B. suchen sind nicht nötig etc-
$_csrf_key = ‘meinkey_addon_subpage’;
$csrf = rex_csrf_token::factory($_csrf_key);
$func = ‘delete’;
if ($func = ‘delete’) {
if (!$csrf->isValid()) {
echo rex_view::error(rex_i18n::msg(‘csrf_token_invalid’));
} else {
// meine deleteaktion
}
}
$delete_link = http_build_url(“index.php?page=addon/subpage”, [“delete” => “func”] + $csrf->getUrlParams() ),
-
rex_form: csrf-schutz immer aktiv, da muss man nichts anpassen
-
api funcs: diese methode in der klasse ergänzen: https://github.com/redaxo/redaxo/blob/master/redaxo/src/addons/install/lib/api_core_update.php#L183-L186
Und den link anpassen: https://github.com/redaxo/redaxo/blob/master/redaxo/src/addons/install/pages/packages.update.php#L40 -
yform .. ist immer da.. kann man aber deaktivieren
-
eigene aktionslinks: token am link hinzufügen und selbst prüfen ob valide vor ausführung der aktion
-
eigene formulare: token als hidden attribute hinzufügen und selbst prüfen ob valide nach absenden
from tricks.
bei 2b verstehe ich die Notwendigkeit und die nötige Anpassung nicht.
zu 4. und 5. braucht es für mich noch mehr Erläuterungen, um sie zu verstehen.
from tricks.
https://wiki.selfhtml.org/wiki/Grundlagen/sichere_Cookies
(alternativ beim Hosting)
Danke @engel4u @skerbis für die Diskussion dazu im Chat.
Welche Angaben würdest du empfehlen? @skerbis
from tricks.
https://github.com/alexplusde/yform_spam_protection/ und https://github.com/yakamara/redaxo_yform_docs/blob/master/de_de/demo_kontakt-spamschutz.md passen hier ebenfalls in eine Doku-Tricks-Seite rein, da Versand von Bestätigungs-E-Mails an fremde Postfächer ohne Spamschutz zum Sicherheitsproblem werden kann. (Abwertung der Domain, Blacklist, Versand von Phishing-Mails)
from tricks.
https://securityheaders.com/ kennt das jemand und ist das hier evtl. auch interessant!?
from tricks.
@aeberhard https://securityheaders.com/ ist in https://observatory.mozilla.org integriert
(Third-party Tests)
from tricks.
Ah, hatte ich nicht gesehen :)
from tricks.
- Redakteuren keine Eingaben zu PHP-Code direkt zur Verfügung stellen
from tricks.
Warum geschlossen, dann wieder geöffnet? Was fehlt noch bzw was soll geändert werden?
from tricks.
ich möchte es für Ergänzungen gerne offen lassen. Das Thema ist immer aktuell :-)
from tricks.
Related Issues (20)
- Mein Addon ist nicht abwärtskompatibel, was tun?
- YForm Best Practice für Tabellen- und Feldnamen HOT 2
- YForm Trick - Formular mit mehreren Schritten
- YForm Trick: Formular Tabs und Spalten-Layouts HOT 9
- YForm Trick: Kontaktformular an richtige Ansprechpartner-E-Mail-Adresse, ohne E-Mail-Adresse offenzulegen HOT 1
- Neuer Trick: Artikel-Metadaten aus YForm-Tabelle per Ajax im Artikel hinzufügen HOT 14
- Mediapool - externe Datei in den Medienpool synchronisieren HOT 3
- Neue Tipps & Tricks: Backups – Warum, wann und wie durchführen? HOT 8
- rex_list Datensatz duplizieren HOT 3
- Eigene Addons in der Backend Navigation oben plazieren HOT 7
- Modul Tipp: Repeater HOT 7
- Info: Sortierung Medienpool aufsteigend HOT 2
- Problem: Rendern nummerierter Listen mit Unterbrechung HOT 2
- UPDATE Tricks > Development > VSCode 1/2
- UPDATE Tricks > Development > VSCode 2/2 HOT 4
- REDAXO & XAMPP für Windows HOT 4
- Seitentitel und Metadaten anpassen mit Daten, die erst im Modul erzeugt werden HOT 1
- YForm: Datensatz klonen HOT 14
- Image URL bei Repeater ist defekt HOT 1
- VSCode und Redaxos PHP_CS_FIXER_CONFIG (auf dem Mac) HOT 1
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from tricks.