Opened 6 years ago

#2181 new defect

CSRF kann mit X-Requested-With übergangen werden.

Reported by: robin.glauser Owned by: comvation
Priority: normal Milestone: unknown
Component: other(specify) Version: 3.1.1
Severity: critical Keywords: csrf, ajax
Cc:

Description

In der Funktion \CSRF::is_ajax wird überprüft ob in der $_SERVER Variable der Wert HTTP_X_REQUESTED_WITH auf XMLHttpRequest gesetzt ist.

Dieser Wert kann vom Webbrowser/Client? geändert werden und als Folgeeffekt wird das CSRF nicht mehr gebraucht.

Change History (0)

Note: See TracTickets for help on using tickets.