New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
JWT認証が必要な領域でも、認証チェックが無効になっているURLはCSRF制限をかけたい #2302
Comments
ここを外してどうなるか要確認 https://github.com/baserproject/basercms/blob/dev-5/plugins/baser-core/src/Plugin.php#L312
影響あるのはログインだが、スキップ設定されているので問題ないはず basercms/plugins/baser-core/src/Plugin.php Line 304 in 14c527a
|
@seto1 こういう文献もあるんですがどうですかね? |
@ryuring Authorizationヘッダが必要な場合はCSRF対策用のトークンは不要だと思いますが、allowUnauthenticatedの対象の場合はAuthorizationヘッダが無くてもアクセスできちゃうんですよね。 |
@seto1 あああ、なるほどケースが違うのか。理解できました。 |
概要
コントローラーでallowUnauthenticatedを設定している状態
JWT認証が必要な領域でログイン・未ログインどちらでもアクセス可能なAPIが存在する場合に制限が必要
baserCMS version : 5.0.0
The text was updated successfully, but these errors were encountered: