Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Cross-Site Request Forgery – много шума из-за ничего
 
Обсуждение статьи Cross-Site Request Forgery – много шума из-за ничего
 
Цитата
Для быстрого добавления функции проверки CSRF в свое приложение можно воспользоваться следующим подходом:

1. Добавлять в каждую генерируемую страницу небольшой JavaScript, дописывающий во все формы дополнительный скрытый параметр, которому присваивается значение Cookie.

2. Проверять на сервере, что переданные клиентом с помощью метода POST данные содержат значение, равное текущему значению Cookie.
На самом деле,существует немало браузеров, где нет(или отключены)cookie и немало браузеров, где нет(или отключен) JavaScript
 
Цитата
Deyteriy пишет:
где нет(или отключены)cookie

Такие браузеры не смогут работать с Cookie-based аутентификацией, и проблема отпадет сама-собой.

Цитата
Deyteriy пишет:
нет(или отключен) JavaScript

В этом случае использование Post вместо Get достаточно.

Акцентирую внимание - проблема в интерактивных элементах сайтов, которые, на настоящий, момент без Cookie и Javascript в большинстве своем просто не работают.
Страницы: 1
Читают тему