[GitHub] [apisix] SylviaBABY commented on a diff in pull request #7519: docs: refactor csrf.md

GitBox Fri, 22 Jul 2022 05:54:06 -0700


SylviaBABY commented on code in PR #7519:
URL: https://github.com/apache/apisix/pull/7519#discussion_r927621554



##########
docs/zh/latest/plugins/csrf.md:
##########
@@ -59,38 +64,47 @@ curl -i http://127.0.0.1:9080/apisix/admin/routes/1 -H 
'X-API-KEY: edd1c9f034335
 }'
 ```
 
-这条路由已经开启保护，当你使用 GET 之外的方法访问，请求会被拦截并返回 401 状态码。
+当你使用 `GET` 之外的方法访问被保护的路由时，请求会被拦截并返回 `401` HTTP 状态码。
+
+使用 `GET` 请求 `/hello` 时，在响应中会有一个携带了加密 Token 的 Cookie。Token 字段名称为插件配置中的 `name` 
值，默认为 `apisix-csrf-token`。
+
+:::note
 
-2. 使用 `GET` 请求 `/hello`，在响应中会有一个携带了加密 `token` 的 `Cookie`。Token 字段的名字为插件配置中的 
`name` 值，如果没有配置该值，那么默认值为 `apisix-csrf-token`。
+每一个请求都会返回一个新的 Cookie。
 
-注意：每一个请求都会返回一个新的 Cookie。
+:::
 
-3. 在后续的对该路由的 `unsafe-methods` 请求中，需要从 Cookie 中读取加密的 token，保证携带 Cookie 
并在请求头部中携带该 token，请求头字段的名称为插件配置中的 `name`。
+在后续的对该路由的 `unsafe-methods` 请求中，需要从 Cookie 中读取加密的 Token，并在请求头中携带该 
Token。请求头字段的名称为插件属性中的 `name`。

Review Comment:
   ```suggestion
   在后续对该路由进行的 `unsafe-methods` 请求中，需要从 Cookie 中读取加密的 Token，并在请求头中携带该 
Token。请求头字段的名称为插件属性中的 `name`。
   ```



##########
docs/zh/latest/plugins/csrf.md:
##########
@@ -23,23 +30,21 @@ title: csrf
 
 ## 描述
 
-`CSRF` 插件基于 [`Double Submit 
Cookie`](https://en.wikipedia.org/wiki/Cross-site_request_forgery#Double_Submit_Cookie)
 的方式，保护您的 API 免于 CSRF 攻击。本插件认为 `GET`、`HEAD` 和 `OPTIONS` 方法是安全操作。因此 `GET`、`HEAD` 
和 `OPTIONS` 方法的调用不会被检查拦截。
+`csrf` 插件基于 [`Double Submit 
Cookie`](https://en.wikipedia.org/wiki/Cross-site_request_forgery#Double_Submit_Cookie)
 的方式，保护用户的 API 免于 CSRF 攻击。
 
-在这里我们定义 `GET`, `HEAD` 和 `OPTIONS` 为 `safe-methods`，其他的请求方法为 `unsafe-methods`。
+`csrf` 插件认为 `GET`、`HEAD` 和 `OPTIONS` 为 `safe-methods`，其他的请求方法为 
`unsafe-methods`。因此 `GET`、`HEAD` 和 `OPTIONS` 方法的调用不会被检查拦截。

Review Comment:
   ```suggestion
   在此插件运行时，`GET`、`HEAD` 和 `OPTIONS` 会被定义为 `safe-methods`，其他的请求方法则定义为 
`unsafe-methods`。因此 `GET`、`HEAD` 和 `OPTIONS` 方法的调用不会被检查拦截。
   ```



##########
docs/zh/latest/plugins/csrf.md:
##########
@@ -59,38 +64,47 @@ curl -i http://127.0.0.1:9080/apisix/admin/routes/1 -H 
'X-API-KEY: edd1c9f034335
 }'
 ```
 
-这条路由已经开启保护，当你使用 GET 之外的方法访问，请求会被拦截并返回 401 状态码。
+当你使用 `GET` 之外的方法访问被保护的路由时，请求会被拦截并返回 `401` HTTP 状态码。
+
+使用 `GET` 请求 `/hello` 时，在响应中会有一个携带了加密 Token 的 Cookie。Token 字段名称为插件配置中的 `name` 
值，默认为 `apisix-csrf-token`。
+
+:::note
 
-2. 使用 `GET` 请求 `/hello`，在响应中会有一个携带了加密 `token` 的 `Cookie`。Token 字段的名字为插件配置中的 
`name` 值，如果没有配置该值，那么默认值为 `apisix-csrf-token`。
+每一个请求都会返回一个新的 Cookie。
 
-注意：每一个请求都会返回一个新的 Cookie。
+:::
 
-3. 在后续的对该路由的 `unsafe-methods` 请求中，需要从 Cookie 中读取加密的 token，保证携带 Cookie 
并在请求头部中携带该 token，请求头字段的名称为插件配置中的 `name`。
+在后续的对该路由的 `unsafe-methods` 请求中，需要从 Cookie 中读取加密的 Token，并在请求头中携带该 
Token。请求头字段的名称为插件属性中的 `name`。
 
 ## 测试插件
 
-直接对该路由发起 `POST` 请求会返回错误：
+启用插件后，使用 `curl` 命令尝试直接对该路由发起 `POST` 请求，会返回 `Unauthorized` 的错误：

Review Comment:
   ```suggestion
   启用插件后，使用 `curl` 命令尝试直接对该路由发起 `POST` 请求，会返回 `Unauthorized` 字样的报错提示：
   ```



-- 
This is an automated message from the Apache Git Service.
To respond to the message, please log on to GitHub and use the
URL above to go to the specific comment.

To unsubscribe, e-mail: [email protected]

For queries about this service, please contact Infrastructure at:
[email protected]

[GitHub] [apisix] SylviaBABY commented on a diff in pull request #7519: docs: refactor csrf.md

Reply via email to