защита csrf в symfony 1.4 с использованием jquery ajax

Question

Привет, я просто хочу знать, нужна ли мне защита от csrf для этого случая, и если да, то как:

Я использую интерфейс перетаскивания на своем веб-сайте для управления пользователями, например, если пользователь хочет удалить пользователя из списка своих друзей, он просто удаляет его в корзину, и таким образом запрос генерируется с использованием идентификатора пользователь (из сеанса) и идентификатор друга, которого он хочет удалить, поэтому единственным параметром, передаваемым в запросе, является только идентификатор друга, поскольку другой идентификатор хранится в сеансе!

это понятно?

так ли это безопасно или я должен использовать какую-то защиту от csrf?

спасибо заранее!

Answer 1

Да, поскольку злоумышленник может создать страницу, которая вызывает один и тот же запрос, с одним или несколькими идентификаторами друзей, в результате чего ничего не подозревающий пользователь, посещающий его страницу, удалит некоторых / всех своих друзей.

Любой запрос, которыйвызывает изменение на сервере, должен иметь CSRF-защиту