даный кусок кода служит минимальной защитой от малоизвестного типа атаки как csrf, это тип межсайтовых запросов, ориентированых на вызов каких то действий со стороны юзера (администратора), к примеру вызов какого то действия через фрейм,при условии что юзер авторизирован на атакуемом сайте..
<iframe width=\"0\" height=\"0\" src=\"http://мойсайт.ру/blog.php?delete=1\"></iframe>
Когда юзер зайдет на сайт с этим кодом,то очистится его блог..и он даже ничего не заподозрит..
Но даное обращение пишется в реферер.. и мы можем проверить действительно ли с нашего сайта обращались к скрипту..
MrDeath, идея вполне правильная, это главное. А передвигаться не могли, т.к. не все браузеры корректно заголовки передают.
св, попробуй врубить так бабки. Посмотрю. Я повторяю для тугодумов - это не защита, а херня, которая тут уже использовалась и из-за которой половина не могла передвигаться по сайту
SV, пожалуй, ты прав)
Ну что ты шумишь? Ну с веника чел, они умеют и другим рефер менять
И чтобы подменить рефер постороннего человека без его ведома на сайте, с которого этот рефер передается нужно найти хотя бы XSS чтобы включить Javascript. Хотя походу тебе объяснять что-то вообще смысла нет
Раньше я и сам чудил, но потом пришло осознание, что вот так и со мной поступят, и перестал, тут чисто для примера, да простят меня все попавшие
NOTEFREE, чел, ты реально тупой что ли? $_SERVER[\'HTTP_REFERER\'] передает БРАУЗЕР того, КТО ОБРАТИЛСЯ к сайту. Заголовки ЧУЖОГО браузера ты не сможешь подменить.
Вот тебе пример этой самой уязвимости: http://pay.m38.biz/iframe.html
так он этот код видел и кстате,уже чудили
Надо Вите сообщить, чтоб прикрыл дырку, а то какое-то школоло начудит, не хотелось бы попасть самому под такое...
AL, вот именно. Так вопрос: нахрен тогда эта защита?
http://prntscr.com/1v8qqt
На.