Анти CSRF комментарии

Мои теги

#ai #python #php

bibilink 19.01
• 2 окт 2013, 23:48

•••

даный кусок кода служит минимальной защитой от малоизвестного типа атаки как csrf, это тип межсайтовых запросов, ориентированых на вызов каких то действий со стороны юзера (администратора), к примеру вызов какого то действия через фрейм,при условии что юзер авторизирован на атакуемом сайте..
<iframe width=\"0\" height=\"0\" src=\"http://мойсайт.ру/blog.php?delete=1\"></iframe>
Когда юзер зайдет на сайт с этим кодом,то очистится его блог..и он даже ничего не заподозрит..
Но даное обращение пишется в реферер.. и мы можем проверить действительно ли с нашего сайта обращались к скрипту..

Victor 41.38
• 4 окт 2013, 23:00

Не забываю, я 7 лет в этой сфере и знаю побольше

Victor 41.38
• 4 окт 2013, 23:00

Мало ты знаешь...

bibilink 19.01
• 4 окт 2013, 22:58

Ты дурак? Другой альтернативы нет, кроме проверки каптчей или рандомными куками (сессией как вариант) для юзера, и при выполнении сравнивать,данные с ячейки юзера в бд и нынешние куки (сессия)

Victor 41.38
• 4 окт 2013, 22:59

окей завта поговорим а так я днём в больнице лежк

~AL~ 11.86
• 4 окт 2013, 22:58

Я днем сплю

Victor 41.38
• 4 окт 2013, 22:57

Днём бываю

~AL~ 11.86
• 4 окт 2013, 22:56

Ночной чатик, посоны!

Брё, а чего тебя в аське нет в последнее время? Я соскучился.

Victor 41.38
• 4 окт 2013, 22:53

сессии круче)

~AL~ 11.86
• 4 окт 2013, 22:51

MrDeath, никто не говорит юзать этот код.
hidden поля круче :3

Victor 41.38
• 4 окт 2013, 22:45

Посоветуйте мне ещё 10 раз поставить эту \"защиту\".

Поздравляем с наступающим Новым годом! Пусть 2025 год принесёт вдохновение, успешные проекты и стабильный рост! Желаем лёгкого кода, надёжных партнёров и личного счастья. Спасибо, что вы с нами!..