Ориентация на обработку файлов формы на другом сайте

Question

Допустим, у меня есть форма <form action="delete_post.php" method="post">...</form> на моем веб-сайте: http://mysite.com, и файл action/delete_post.php удаляет сообщение с идентификаторами, указанными в форме.

Может кто-нибудь попробоватьудаляйте случайные записи с моего сайта, создав сайт с формой:

<form action="http://mysite.com/action/delete_post.php' method="post">...</form>

и передавая идентификаторы сообщений, которые он хочет удалить [просто ради удовольствия быть злым или нанести урон веб-сайту одновременного пользователя иличто угодно]?

Вы могли бы представить целую кучу вещей, которые кто-то мог бы сделать для ваших файлов обработки форм, вот так, поэтому мне нужно защищать свои файлы от такого рода угроз?

PS.: Я не связан с http://mysite.com

Answer 1

Да, этот тип атаки называется подделкой межсайтовых запросов (CSRF), и многие сайты уязвимы для него.

Распространенным способом блокирования этой атаки является включение скрытого ввода с помощьюпроизвольно сгенерированный токен формы (даже просто что-то вроде md5(microtime(true)) достаточно).Сохраняйте список последних допустимых токенов форм в сеансе пользователя и уничтожайте их, когда они используются (и сохраняйте только 5 или 10 самых последних).Не позволяйте этому действию завершиться, если у пользователя нет действительного токена формы.