我问了这个问题,关于使用 Drupal 7 的 Forms API 的原因,而不是自己处理表单提交请求并最终调用类似node_save()or的函数comment_save()。虽然给出了使用 Forms API 的各种原因,但只提出了一个可能的安全漏洞:如果不使用 Drupal 7 的 Forms API,我会错过它使用的 CSRF 预防技术。根据我的阅读,这基本上涉及使用令牌来验证请求。
我的问题是双重的:
- 是否可以在我编写的脚本中利用 Drupal 的 CSRF 预防令牌方法来处理 Ajax 请求,从而完全消除我不使用 Forms API 所承担的额外风险?如果是这样,怎么做?
- Forms API 是否采用了我也应该实现的令牌以外的技术?
请注意,我不希望这个问题成为我是否应该使用 Forms API 的讨论。