ユーザー変更における致命的な CSRF 脆弱性

tschuerle · 2020 年 7 月 6 日午後 2:19

こんにちは、皆さん。

現在、["BAD CSRF"] エラー（403 Forbidden）が発生しています。
API キーを使用したリクエストは以下の通りです：
URL: https://<domain>/u/tschuerle.json?api_key=<valid key>&api_username=tschuerle
Body: { "hide_profile_and_presence": true }
Method: PUT
Headers: "Content-Type" を "application/json" に設定

Web フックのログによると、4 月までは正常に動作していました。現在は最新の安定版 2.5.0 を実行しています。

ユースケース：Web フック経由でユーザー作成後にプロフィールを非公開にし、ユーザー自身がプロフィールを公開するか判断できるようにすることです。

何かヒントはありませんか？

よろしくお願いいたします、
トーマス

Falco · 2020 年 7 月 6 日午後 3:08

API キーは、URL パラメータの代わりにヘッダーとして設定する必要があります。詳細については docs.discourse.org を確認してください。

tschuerle · 2020 年 7 月 6 日午後 3:20

あ、それを見落としていました。それで動いています
@Falco さん、ありがとうございます

system · 2020 年 8 月 5 日午後 3:20

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

トピック		返信	表示
'BAD CSRF' while creating a new post Support	2	1886	2020 年 5 月 23 日
"BAD CSRF" when executing PUT using API, curl, and PHP Development rest-api	6	2361	2024 年 5 月 4 日
Getting ["BAD CSRF"] when updating topic via API [python] Development rest-api	2	1009	2021 年 8 月 9 日
Problem updating user custom_fields created by a plugin Development	9	1279	2019 年 4 月 18 日
403 Error during multiple API calls Development rest-api	3	1642	2020 年 4 月 17 日

ユーザー変更における致命的な CSRF 脆弱性

関連トピック