Vulnerability mitigation
This commit is contained in:
parent
9043ccb0e2
commit
0a39b60eee
@ -21,6 +21,6 @@
|
|||||||
'expires' => time() + 60*60*24*90,
|
'expires' => time() + 60*60*24*90,
|
||||||
'secure' => true,
|
'secure' => true,
|
||||||
'httponly' => true,
|
'httponly' => true,
|
||||||
'samesite' => 'None',
|
'samesite' => 'Strict',
|
||||||
]);
|
]);
|
||||||
header('Location: index.php'); // GO HOME UNTIL WE ADD REFERER LOGIC
|
header('Location: index.php'); // GO HOME UNTIL WE ADD REFERER LOGIC
|
||||||
|
@ -21,6 +21,6 @@
|
|||||||
'expires' => time() + 60*60*24*90,
|
'expires' => time() + 60*60*24*90,
|
||||||
'secure' => true,
|
'secure' => true,
|
||||||
'httponly' => true,
|
'httponly' => true,
|
||||||
'samesite' => 'None',
|
'samesite' => 'Strict',
|
||||||
]);
|
]);
|
||||||
header('Location: index.php'); // GO HOME UNTIL WE ADD REFERER LOGIC
|
header('Location: index.php'); // GO HOME UNTIL WE ADD REFERER LOGIC
|
||||||
|
@ -21,7 +21,7 @@
|
|||||||
//ini_set('session.gc_divisor', 100); // TIMES
|
//ini_set('session.gc_divisor', 100); // TIMES
|
||||||
//session_save_path('.tmp'); // TEMP
|
//session_save_path('.tmp'); // TEMP
|
||||||
//session_start(); // START
|
//session_start(); // START
|
||||||
//ini_set("session. cookie_httponly", 1);
|
//ini_set("session.cookie_httponly", 1);
|
||||||
require_once __DIR__ . '/../autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/../autoload.php'; // AUTOLOAD
|
||||||
use App\LobbySIO\Config\Registry;
|
use App\LobbySIO\Config\Registry;
|
||||||
use App\LobbySIO\Misc\Csrf; // ANTICSRF
|
use App\LobbySIO\Misc\Csrf; // ANTICSRF
|
||||||
@ -80,8 +80,9 @@
|
|||||||
$timeplus = new DateTime($StaticFunctions->getUTC(), new DateTimeZone('UTC')); // DUMB WAY TO CALCULATE SOME TIMES
|
$timeplus = new DateTime($StaticFunctions->getUTC(), new DateTimeZone('UTC')); // DUMB WAY TO CALCULATE SOME TIMES
|
||||||
$timeplus->setTimezone(new DateTimeZone("$timezone"));
|
$timeplus->setTimezone(new DateTimeZone("$timezone"));
|
||||||
$timenow = $timeplus->format('Y-m-d H:i:s');
|
$timenow = $timeplus->format('Y-m-d H:i:s');
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
13
index.php
13
index.php
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -77,6 +81,13 @@
|
|||||||
$app_current_pagename = $transLang['HOME']; // PAGE SETUP
|
$app_current_pagename = $transLang['HOME']; // PAGE SETUP
|
||||||
$app_current_pageicon = '<i class="fas fa-home"></i> ';
|
$app_current_pageicon = '<i class="fas fa-home"></i> ';
|
||||||
require_once("inc/header.inc.php");
|
require_once("inc/header.inc.php");
|
||||||
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
|
if (!empty($_GET['a'])) {
|
||||||
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
}
|
||||||
?>
|
?>
|
||||||
|
|
||||||
|
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -78,7 +82,8 @@
|
|||||||
header('Location: index.php'); // ELSE HOME
|
header('Location: index.php'); // ELSE HOME
|
||||||
} else {
|
} else {
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -50,7 +54,8 @@
|
|||||||
header('Location: index.php'); // ELSE HOME
|
header('Location: index.php'); // ELSE HOME
|
||||||
} else {
|
} else {
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -50,7 +54,8 @@
|
|||||||
header('Location: index.php'); // ELSE HOME
|
header('Location: index.php'); // ELSE HOME
|
||||||
} else {
|
} else {
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -50,7 +54,8 @@
|
|||||||
header('Location: index.php'); // ELSE HOME
|
header('Location: index.php'); // ELSE HOME
|
||||||
} else {
|
} else {
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -50,7 +54,8 @@
|
|||||||
header('Location: index.php'); // ELSE HOME
|
header('Location: index.php'); // ELSE HOME
|
||||||
} else {
|
} else {
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -50,7 +54,8 @@
|
|||||||
header('Location: index.php'); // ELSE HOME
|
header('Location: index.php'); // ELSE HOME
|
||||||
} else {
|
} else {
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -51,7 +55,8 @@
|
|||||||
header('Location: index.php'); // ELSE HOME
|
header('Location: index.php'); // ELSE HOME
|
||||||
} else {
|
} else {
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
@ -51,7 +55,8 @@
|
|||||||
header('Location: index.php'); // ELSE HOME
|
header('Location: index.php'); // ELSE HOME
|
||||||
} else {
|
} else {
|
||||||
header("X-Frame-Options: SAMEORIGIN");
|
header("X-Frame-Options: SAMEORIGIN");
|
||||||
header("Content-Security-Policy: frame-ancestors 'none'", false);
|
header("X-Content-Type-Options: nosniff");
|
||||||
|
header("Content-Security-Policy: script-src 'self'; script-src-elem 'self'; script-src-attr 'self'; style-src 'self'; style-src-elem 'self'; style-src-attr 'self'; img-src 'self'; connect-src 'self'; frame-src 'self'; font-src 'self'; media-src 'self'; object-src 'self'; manifest-src 'self'; worker-src 'self'; prefetch-src 'self'; form-action 'self'; frame-ancestors 'self'; default-src 'self'", false);
|
||||||
if (!empty($_GET['a'])) {
|
if (!empty($_GET['a'])) {
|
||||||
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
echo '<pre>' . print_r($_POST, true) . '</pre>';
|
||||||
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
echo 'Verification has been : ' . (Csrf::verifyToken('home') ? 'successful' : 'unsuccessful');
|
||||||
|
@ -21,7 +21,7 @@ class Csrf
|
|||||||
'expires' => $token->expiry,
|
'expires' => $token->expiry,
|
||||||
'secure' => true,
|
'secure' => true,
|
||||||
'httponly' => true,
|
'httponly' => true,
|
||||||
'samesite' => 'None',
|
'samesite' => 'Strict',
|
||||||
]);
|
]);
|
||||||
|
|
||||||
return $_SESSION['csrftokens'][$page] = $token;
|
return $_SESSION['csrftokens'][$page] = $token;
|
||||||
|
@ -19,7 +19,11 @@
|
|||||||
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
ini_set('session.gc_maxlifetime', 24*60*60); // MIN SESSION
|
||||||
ini_set('session.gc_probability', 1); // GC RATES
|
ini_set('session.gc_probability', 1); // GC RATES
|
||||||
ini_set('session.gc_divisor', 100); // TIMES
|
ini_set('session.gc_divisor', 100); // TIMES
|
||||||
ini_set("session. cookie_httponly", 1);
|
ini_set('session.use_cookies', '1');
|
||||||
|
ini_set('session.use_only_cookies', '1');
|
||||||
|
ini_set('session.cookie_secure', '1');
|
||||||
|
ini_set('session.cookie_httponly', '1');
|
||||||
|
ini_set('session.cookie_samesite', 'Strict');
|
||||||
session_save_path('.tmp'); // TEMP
|
session_save_path('.tmp'); // TEMP
|
||||||
session_start(); // START
|
session_start(); // START
|
||||||
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
require_once __DIR__ . '/autoload.php'; // AUTOLOAD
|
||||||
|
Loading…
Reference in New Issue
Block a user