• 2 окт 2013, 23:48
даный кусок кода служит минимальной защитой от малоизвестного типа атаки как csrf, это тип межсайтовых запросов, ориентированых на вызов каких то действий со стороны юзера (администратора), к примеру вызов какого то действия через фрейм,при условии что юзер авторизирован на атакуемом сайте..
<iframe width=\"0\" height=\"0\" src=\"http://мойсайт.ру/blog.php?delete=1\"></iframe>
Когда юзер зайдет на сайт с этим кодом,то очистится его блог..и он даже ничего не заподозрит..
Но даное обращение пишется в реферер.. и мы можем проверить действительно ли с нашего сайта обращались к скрипту..
• 4 окт 2013, 22:43
MrDeath, идея вполне правильная, это главное. А передвигаться не могли, т.к. не все браузеры корректно заголовки передают.
• 4 окт 2013, 22:39
св, попробуй врубить так бабки. Посмотрю. Я повторяю для тугодумов - это не защита, а херня, которая тут уже использовалась и из-за которой половина не могла передвигаться по сайту
• 4 окт 2013, 22:34
SV, пожалуй, ты прав)
• 4 окт 2013, 22:31
Ну что ты шумишь? Ну с веника чел, они умеют и другим рефер менять
• 4 окт 2013, 22:27
И чтобы подменить рефер постороннего человека без его ведома на сайте, с которого этот рефер передается нужно найти хотя бы XSS чтобы включить Javascript. Хотя походу тебе объяснять что-то вообще смысла нет
• 4 окт 2013, 22:21
Раньше я и сам чудил, но потом пришло осознание, что вот так и со мной поступят, и перестал, тут чисто для примера, да простят меня все попавшие 
• 4 окт 2013, 22:19
NOTEFREE, чел, ты реально тупой что ли? $_SERVER[\'HTTP_REFERER\'] передает БРАУЗЕР того, КТО ОБРАТИЛСЯ к сайту. Заголовки ЧУЖОГО браузера ты не сможешь подменить.
Вот тебе пример этой самой уязвимости: http://pay.m38.biz/iframe.html
• 4 окт 2013, 22:13
так он этот код видел
и кстате,уже чудили 
• 4 окт 2013, 22:10
Надо Вите сообщить, чтоб прикрыл дырку, а то какое-то школоло начудит, не хотелось бы попасть самому под такое...
AL, вот именно. Так вопрос: нахрен тогда эта защита?
http://prntscr.com/1v8qqt
На.