| >> |
№149562
16835507874070.png
(47Кб, 1919x300)
Показана уменьшенная копия, оригинал по клику.
UUID так же исполняет роль CSRF-токена, в случае отключённого javascript не получается запостить, javascript хватает CSRF-токен и добавляет в форму, существуют два варианта решения проблемы: 1) посетить страницу настройки CSRF-токена и нажать на кнопку предварительно взяв текущий CSRF-токен со специальной страницы, тогда в cookie запишется переменная отключающую защиту от CSRF 2) включить javascript, отправить сообщение, получить UUID, отключить javascript, вводить UUID в поле формы при каждой отправке сообщения, UUID в cookie браузера не заменяет защиту от CSRF.
https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%B0
CSRF (англ. cross-site request forgery — «межсайтовая подделка запроса», также известна как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
|