Remove _rx_ajax_compat and _rx_csrf_token from request vars

JSON/XMLRPC 호환성 확보와 CSRF 공격 방지를 위해 사용되는 이 변수들이 Context::getRequestVars()에 포함되어 불필요하게 여기저기 저장되거나 URL에 포함되어 나오는 문제를 방지합니다.
2026-04-27 14:22:54 +09:00 · 2017-07-02 21:46:50 +09:00 · 2017-07-02 21:46:50 +09:00 · 5ae15f4b66
commit 5ae15f4b66
parent 107765a19d
2 changed files with 16 additions and 8 deletions
--- a/common/framework/security.php
+++ b/common/framework/security.php
@ -304,7 +304,7 @@ class Security
 		{
 			return Session::verifyToken($token);
 		}
-		elseif ($token = \Context::get('_rx_csrf_token'))
+		elseif ($token = $_REQUEST['_rx_csrf_token'])
 		{
 			return Session::verifyToken($token);
 		}