Современный облачный хостинг провайдер | Aéza
Контакты ООО "АЕЗА ГРУПП" ИНН 2312304914 ОГРН 1212300056430

Ошибка безопасности при отправке POST запроса

Spark108

Spark108

Проверенные
Сообщения
486
Реакции
952
Баллы
11,175
Пишу плагин и когда пришел момент оттестировать его работу, делаю POST запрос по адресу http://site.ru/vote/votename/ форум мне возвращает ошибку безопасности. Что в этом плане делать? И да, что нужно искать для помощи в устранение проблемы?

Пост запрос отправлялся через cUrl:
PHP: 
if($curl = curl_init())
{
    curl_setopt($curl, CURLOPT_URL, 'http://site.ru/vote/votename/');
    curl_setopt($curl, CURLOPT_RETURNTRANSFER,true);
    curl_setopt($curl, CURLOPT_POST, true);
    curl_setopt($curl, CURLOPT_POSTFIELDS, $cUrlPost);
    echo curl_exec($curl);
    curl_close($curl);
}

P.S. Ошибка только при POST запросе, если же сделать обычный запрос без указания POST или же GET запрос, то все проходит удачно. Я бы делал GET запрос и не заморачиваться, но это внешний адрес, который должен использовать сторонний сайт и он передает параметры в POST.
 
Последнее редактирование:
Сортировка по дате Сортировка по голосам
mizaider написал(а):
У ксена есть CSRF защита. Нужно делать запрос на страницу, от туда извлекать токен и передавать его в пост запросе.
Нажмите для раскрытия...
Так в том то и дело, что так не прокатит. POST запрос должен сделать сторонний сайт, а он делает сразу запрос без той последовательности, которую вы описали.

Можно ли в таком случае сделать "белый лист сайтов" для этой защиты?

Я уже думаю создавать отдельный файл в корне сайта, где буду получать этот POST запрос и уже от локального имени делать запрос к XenForo, то есть типа Proxy.
 
Последнее редактирование:
Позитивный голос 0 Негативный голос
Spark108 написал(а):
Я уже думаю создавать отдельный файл в корне сайта, где буду получать этот POST запрос и уже от локального имени делать запрос к XenForo, то есть типа Proxy.
Нажмите для раскрытия...
Создайте файл. В нем подключите ксен и работайте с контроллерами из кода.

PHP: 
$startTime = microtime(true);
$fileDir = dirname(__FILE__);

require($fileDir . '/library/XenForo/Autoloader.php');
XenForo_Autoloader::getInstance()->setupAutoloader($fileDir . '/library');

XenForo_Application::initialize($fileDir . '/library', $fileDir);
XenForo_Application::set('page_start_time', $startTime);

$deps = new XenForo_Dependencies_Public();
$deps->preLoadData();

После этого сможете использовать контроллеры, модели и прочее. Не забудьте запретить доступ к файлу всем кроме тех кто с ним работает.

Spark108 написал(а):
Как можно запросить xfToken вообще? Куда нужно запрос послать?
Нажмите для раскрытия...
Токен находится в теле формы как скрытый инпут. Он есть везде где юзер может совершить какое-то действие.
 
Позитивный голос 0 Негативный голос
mizaider написал(а):
Не забудьте запретить доступ к файлу всем кроме тех кто с ним работает.
Нажмите для раскрытия...
Ну запрещать доступ к файлу наверно не будет смысла, ведь он будет возвращать на страницу тоже что и та страница куда должен был идти изначально запрос, там должна вернутся json.

mizaider написал(а):
Создайте файл. В нем подключите ксен и работайте с контроллерами из кода.

PHP: 
$startTime = microtime(true);
$fileDir = dirname(__FILE__);

require($fileDir . '/library/XenForo/Autoloader.php');
XenForo_Autoloader::getInstance()->setupAutoloader($fileDir . '/library');

XenForo_Application::initialize($fileDir . '/library', $fileDir);
XenForo_Application::set('page_start_time', $startTime);

$deps = new XenForo_Dependencies_Public();
$deps->preLoadData();

После этого сможете использовать контроллеры, модели и прочее. Не забудьте запретить доступ к файлу всем кроме тех кто с ним работает.
Нажмите для раскрытия...
И кстати, это код из 1 ветки, во 2 ветки иначе.
 
Позитивный голос 0 Негативный голос
Spark108 написал(а):
Ну запрещать доступ к файлу наверно не будет смысла, ведь он будет возвращать на страницу тоже что и та страница куда должен был идти изначально запрос, там должна вернутся json.
Нажмите для раскрытия...
Вам виднее.

Spark108 написал(а):
И кстати, это код из 1 ветки, во 2 ветки иначе.
Нажмите для раскрытия...
Да, там проще. Но суть та же.

PHP: 
$dir = __DIR__;
require ($dir . '/src/XF.php');

XF::start($dir);
$app = XF::setupApp('XF\Pub\App');
 
Позитивный голос 0 Негативный голос
mizaider написал(а):
Вам виднее.


Да, там проще. Но суть та же.

PHP: 
$dir = __DIR__;
require ($dir . '/src/XF.php');

XF::start($dir);
$app = XF::setupApp('XF\Pub\App');
Нажмите для раскрытия...
Ага, проще. Я уже законектился. Спасибо за помощь, пока буду сам искать как лучше сделать тут уже.
 
Позитивный голос 0 Негативный голос
Войдите или зарегистрируйтесь для ответа.
Современный облачный хостинг провайдер | Aéza
Контакты
ООО "АЕЗА ГРУПП" ИНН 2312304914 ОГРН 1212300056430 г. Краснодар, ул. Маяковского 160, офис 2.4

Похожие темы

xakmika
  • Вопрос
XF 2.2 API threads
Ответы
0
Просмотры
760
xakmika
xakmika
bauld
  • Вопрос
XF 2.2 Проблема с api
Ответы
1
Просмотры
1K
Matew
Matew
Maut
  • Вопрос
XF 2.2 Не принимает GET запрос.
Ответы
4
Просмотры
1K
Maut
Maut
Katsuro
  • Вопрос
XF 2.1 Rest API и DELETE запрос
Ответы
4
Просмотры
2K
Katsuro
Katsuro
F
  • Вопрос
XF 2.1 Curl XenForo 2 API Bad Request
Ответы
4
Просмотры
2K
Flin007
F
Назад
Сверху Снизу