Pertanyaan yang pernah dilontarkan oleh para pengunjung:
"Maaf apakah situsnya tetap aman kalau dibuat false, saya juga mengalami hal ini diweb kantor saya."
Dan berikut adalah tanggapan kami:
Dokumentasi codeIgniter menjelaskan, bahwa CSRF digunakan untuk memfilter inputan field pada formulir, dengan cara mengaktifkan CSRF (membuatnya TURE), maka aturan main default regular expression CSRF akan berlaku, artinya inputan yang diizinkan hanya jenis karakter yang sudah ditentukan, seperti di bawah ini
$config['csrf_exclude_uris'] = array( 'api/record/[0-9]+', 'api/title/[a-z]+' );
Sebenarnya metode ini bisa juga dilakukan di sisi client (front end), menggunakan attribut pattern. Hanya saja mudah bagi seorang hacker untuk memanipulasi ini. Oleh sebab itu perlu antisipasi lebih mengatasi hal semacam ini, sehingga CI menediakan config tersebut untuk mengatasinya di sini backend, keamanan berlapis seperti ini sangat direkomendasikan.
Nah, sekarang kembali kepada kasus yang sedang dihadapi. Contoh, pada kasus ini, user yang bisa menginputkan sintak2x javascript adalah admin (untuk membuat postingan) artinya untuk bisa mendapatkan fitur tersebut kan harus melalu rule user level, disini saya sudah cukup menghandle dengan itu. Jadi tidak ada yang bisa input javascript kecuali saya.
Kedua, sisi klien, saya sudah menggunakan markdown untuk memfilter segala bentuk inputan dari komentar klien, di markdown tidak ada kesempatan untuk menginputkan sintak2x javascript, karena semuanya bakal di convert kedalam sintak markdown.
Jadi saya membuatnya FALSE, karena untuk kepentingan pribadi, jika Agan berurusan dengan aplikasi klien, alangkah baiknya jika mengikuti rekomendasi keamanan dari CI.
Sekian dan terimakasih.
