już widać pewne pytanie stąd (stackoverflow) i THIS postu, ale mam jeszcze kilka pytań ...Zapobieganie CSRF?
Korzystanie z ukrytej wartości w postaci postu i sprawdzić, kiedy po dotrzeć do serwera.
- Ukrytą wartość można łatwo skopiować i wysłać dokładnie tak, jak prawdziwa, "trudno zgadnąć" (jak md5) nie pomoże. (prawda?)
Ustawienie pliku cookie po dotarciu do formularza i wysłanie wartości cookie jako ukrytej wartości.
- Możesz łatwo zmienić wartość cookie lub wysłać niestandardowy plik cookie dokładnie taki sam, jak prawdziwy, używając tej samej prawdziwej ukrytej wartości. (prawda?)
Przy użyciu "limitu czasu" wartości POST nie mogą osiągnąć zbyt późno.
- Tak więc, jeśli jesteś wolny, nie powiedzie się, gdy spróbujesz ustawić wszystko z ukrytą wartością. Jeśli będziesz szybki, zadziała. (Prawda?)
Chcę być chronione o CSRF ... ale jak dokładnie to zrobić?
StackOverflow wykorzystuje przecenę - użyj tego podczas publikowania zamiast HTML. – Oded
@Dziękuję, dziękuję. Zobaczę, jak to edytujesz i poznasz. – PedroGabriel
Zobacz http://stackoverflow.com/questions/14667189/simple-example-for-why-same-origin-policy- jest przeznaczone na bardziej ogólne pytanie dotyczące CSRF. –