Question

Я установил cookie в заголовках с помощью хэшированного ключевого слова md5. Затем, в моем коде, он проверяет точное совпадение куки перед отображением формы. Это в значительной степени бессмысленно? Форма отправляется на внешний сайт, поэтому я пытаюсь обезопасить форму без использования капчи ..

rook · Answer 1 · 18 мая 2010

CSRF является проблемой, только если запрос является ценным для злоумышленника. Например, если злоумышленник может заставить вошедшего в систему администратора изменить свой пароль с помощью CSRF, то у вас есть серьезная проблема. Никого не волнует лирика, поисковые запросы или навигация по страницам. Никто никогда не воспользуется этим, поэтому не имеет значения, откуда поступил запрос.

Thomas Winsnes · Answer 2 · 18 мая 2010

Если вы отправите файл cookie одновременно с печатью формы, он всегда вернет значение true, если только у них не отключены файлы cookie.

Для проверки файлов cookie используется предотвращение подделки межсайтовых запросов. Другими словами, не позволяйте людям отправлять формы с внешних сайтов:)

То, что вы там описали, ничего не делает

Безопасность веб-форм

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасность веб-форм

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов