FCLT#54928 __RequestVerificationToken -> RVT_token, gebruikt nu Session(RVT_TOKEN) ipv dat het Session(ASPFIXATION) hergebruikt

svn path=/Website/trunk/; revision=39362
2018-10-11 14:02:47 +00:00
parent 8a936d1613
commit 0d0825c614
4 changed files with 7 additions and 6 deletions
--- a/APPL/FAC/NotifyMessage.asp
+++ b/APPL/FAC/NotifyMessage.asp
@@ -23,7 +23,7 @@ var EXPIRED_PASSWORD_OK = true; // performance
 <!-- #include file="../Shared/common.inc" -->
 <!-- #include file="../Shared/json2.js" -->
 <%
-//protectRequest.validateToken(); // De __RequestVerificationToken wordt maar 1 keer gezet, dus is de volgende keer verlopen.
+//protectRequest.validateToken(); // De RVT_token wordt maar 1 keer gezet, dus is de volgende keer verlopen.
 // *Wij* bepalen wanneer de volgende controle komt.
 // Je zou als er daadwerkelijk een message is de volgende controle
 // wat sneller (of juist langzamer) kunnen doen. Hypothetisch...
--- a/APPL/Localscripts/iface.js
+++ b/APPL/Localscripts/iface.js
@@ -656,7 +656,7 @@ var protectRequest =
 {
    dataToken: function (dataName) // Voeg aan een data hash een input token toe
    {
-        dataName["__RequestVerificationToken"] = window.RVT_token;
+        dataName["RVT_token"] = window.RVT_token;
    }
 }

--- a/APPL/Shared/Shared.inc
+++ b/APPL/Shared/Shared.inc
@@ -1465,15 +1465,16 @@ function setASPFIXATION()
    Response.Cookies("ASPFIXATION") = ASPFIXATION; // deze controleren we weer in default.inc
    Response.Cookies("ASPFIXATION").Path = rooturl + "/"; // anders niet met ServerXMLHttp
    if (S("auto_https") & 2)
-        Response.Cookies("ASPFIXATION").Secure= true;
+        Response.Cookies("ASPFIXATION").Secure = true;
+    Session("RVT_TOKEN") = shared.random(32);
    Session("ASPFIXATION") = ASPFIXATION; // deze controleren we weer in default.inc
    Session("FACSESSIONID") = FACSESSIONID;
 }

 var protectRequest =
 {
-    theToken: function () { return Session("ASPFIXATION") }, // Session ASPFIXATION token wordt gebruikt als cookie voor anti CSRF Cross Site
-    theVar: "__RequestVerificationToken", // De form-name. Komt ook terug in FacmgtTools.asp
+    theToken: function () { return Session("RVT_TOKEN") }, // Session RVT_TOKEN wordt gebruikt als anti Cross-Site Request Forgery (CSRF)
+    theVar: "RVT_token",
    inputToken: function () // Maak een hidden inputveld met token
    {
        %>
--- a/APPL/Shared/UploadForm_save.asp
+++ b/APPL/Shared/UploadForm_save.asp
@@ -130,7 +130,7 @@ var fso = Server.CreateObject("Scripting.FileSystemObject")
  //__Log(found_files);
  if (!result.message) // dikke kans dat dan het token er ook niet is
  {
-      protectRequest.validateToken(found_fields["__RequestVerificationToken"]);
+      protectRequest.validateToken(found_fields["RVT_token"]);

      // Obscuur: hier geen 'i' gebruiken omdat upload.inc/ getString die ook al gebruikt
      //          Je krijgt daar dan 'Illegal Assignment', ik verzin het niet