Beypecne odeslani formulare (token)

vigel

3. 11. 2013 13:23:21

Ahoj,

Prosim o vyjadreni.

Snazim se zabezpecit odeslani formulare Cross-site request forgery

mam:

dejme tomu index.php

a zpracovani zde.

load.php

Jaky mate na to nazor, je to dostacujici?

Dekuji

3. 11. 2013 13:23:21

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961918

red2.2

3. 11. 2013 14:28:48

Ahoj,

proti comu chces ten formular zabezpecit? Bez toho aby sme vedeli o co sa vlastne snazis je naozaj tazke povedat, ci sa snazis dostatocne alebo nie ;-)

3. 11. 2013 14:28:48

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961917

7.Host

(1 hodnocení)

3. 11. 2013 15:15:40

Podle toho co si napsal, je $token SESSION_ID, ktere posilas pres formular z naprosto neznamych duvodu, protoze ho muzes zjistit az primo v load.php bez zbytecne moznosti prepsani uzivatelem.

3. 11. 2013 15:15:40

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961916

vigel

3. 11. 2013 16:27:15

no preci proti Cross-site request forgery!

3. 11. 2013 16:27:15

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961915

Just another Web Developer

(7 hodnocení)

3. 11. 2013 16:33:19

Použij Nette forms, nebudeš znovu vymejšlet kolo od vozu ;)

3. 11. 2013 16:33:19

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961914

t-pack25

3. 11. 2013 16:35:28

Kôli jednému formuláru používať Nette forms, to je teda rada :)

3. 11. 2013 16:35:28

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961913

red2.2

3. 11. 2013 18:55:00

nie je to dostatocne, staci ak utocnik zavola tvoju stranku 2x, po prvom volani dostane session a v druhom volani odosle formular aj s prisne tajnym tokenom.

3. 11. 2013 18:55:00

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961912

vigel

3. 11. 2013 21:40:19

a koukal jsi se dobre?

ted to je tak

1/ prijde na form, dostane token (jedinecny)

2/ odesle form > token se zkontroluje a po splneni vymaze

tzn. uz zadnej token nema a kdyz da refres tak ho to nepusti, nebo se mylim? Jak jsi to myslel ty?

3. 11. 2013 21:40:19

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961911

Just another Web Developer

(7 hodnocení)

4. 11. 2013 00:08:15

Napsal t-pack25;1017075
Kôli jednému formuláru používať Nette forms, to je teda rada :)

Bože, proč by ne? Řekni mi jeden důvod proč nepoužít Nette Forms.

Pokud nemáš pádný argument tak mlč navždy.

4. 11. 2013 00:08:15

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961910

red2.2

4. 11. 2013 09:39:41

Skontroluj si este minimalne referera nech je http://tovoja domena/index.php (podla toho, na akej url bude formular). Ak nahodou niekedy pouzijes tento skript na domene, ktorej umoznis Access-Control-Allow-Origin, alebo budes mat na stranke napr. XSS dieru, tak ta tvoja ochrana je naozaj slaba.

howgh ;-)

4. 11. 2013 09:39:41

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961909

vigel

4. 11. 2013 12:22:35

co tohle? :

nebo nějaké lepší řešení?

4. 11. 2013 12:22:35

https://webtrh.cz/diskuse/beypecne-odeslani-formulare-token#reply961908

Pro odpověď se přihlašte.

Přihlásit