Question

У меня есть эта форма на моем сайте, я хочу запретить пользователям отправлять форму из локальной копии.или отправьте форму из другого домена (межсайтовый скриптинг).

HTTP_REFERER не является доверенным, поскольку его легко подделать.

У меня есть идея проверить, куда была отправлена форма, позвонивсервер непосредственно перед отправкой информации.но я не уверен, если это хорошая идея.Спасибо ilanko

Anton Gogolev · Answer 1 · 11 марта 2011

Это называется CSRF и обычно решается наличием скрытого input внутри формы.Значение указанного input присваивается на стороне сервера и сохраняется в сеансе.После отправки формы эти два значения сравниваются, и отправка формы продолжается, только если они равны.

Как проверить форму, отправленную с того же сервера без использования HTTP_REFERER?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как проверить форму, отправленную с того же сервера без использования HTTP_REFERER?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы