validate_referrer

Последняя активность
Файлы топика
295
.
MARAZM
17 дек 2016 г., 6:59
КИДАЛА!!! Дел не иметь!
Можно по подробнее для чего нужна эта функция?
.
Koenig
17 дек 2016 г., 11:10
Изменено
(\/)____o_O____(\/)
MARAZM, гугл csrf
https://ru.m.wikipedia.org/wik ... проса
.
ramzes
17 дек 2016 г., 11:23
# Koenig (17.12.2016 / 11:10)
MARAZM, гугл csrf
https://ru.m.wikipedia.org/wik ... проса
только это не защита ни разу. токен гораздо более сложная система. токен с применением jsвообще скриптом не подделать. а рефер. рефер вообще отключают, это теперь тренд. яша и гугл давно уже решили что рефер - зло
.
Koenig
17 дек 2016 г., 12:19
(\/)____o_O____(\/)
ramzes, так это было давно запилено же
.
Koenig
17 дек 2016 г., 12:19
(\/)____o_O____(\/)
ramzes, да и подделать можно все, что работает через арбуз
.
ramzes
17 дек 2016 г., 12:46
# Koenig (17.12.2016 / 12:19)
ramzes, так это было давно запилено же
Можно конечно. Только это будет стоить такого гемора что проще забить
.
Koenig
17 дек 2016 г., 13:13
(\/)____o_O____(\/)
ramzes, кто увлекается грабингом, у того проблем не составит
.
MARAZM
17 дек 2016 г., 17:39
КИДАЛА!!! Дел не иметь!
Koenig, я про функцию которая находится в core.php. просто в 6.2.0 была с ней проблема и кто то выкладывал исправление но что с ней что без нее в стандартных модулях бывают появляются invalid request
.
ramzes
17 дек 2016 г., 19:37
# Koenig (17.12.2016 / 13:13)
ramzes, кто увлекается грабингом, у того проблем не составит
Поверь, я легко сделаю форму которую ты ни когда не сграбишь без бота аналогичному гугллвскому, (с поддержкой js) ты просто не получишь токен и можешь пытаться слать без него сколбко угодно)
На пхп вставить в тело формы хидден с токеном это очень просто и прямолинейно.
На js это поле вообще не нужно, а токен может быть разбросан кусками по странице, вот и собирай его, с одной попытки придумай порядок этих кусков, а потом найди хешер в коде который из этой строки сгенерит реальный токен)))
И фиг ты подделаешь подобное, только грабить страницу+файл js, пытаться раскопать в нем нужное, потом подобрать порядок, найти генератор, заслать токен и получить посыл на фиг, начать с начала, и так до бана по ип)))
.
ramzes
17 дек 2016 г., 19:39
# MARAZM (17.12.2016 / 17:39)
Koenig, я про функцию которая находится в core.php. просто в 6.2.0 была с ней проблема и кто то выкладывал исправление но что с ней что без нее в стандартных модулях бывают появляются invalid request
Я писал исправление.
Оно не выдает ошибок, если такое уведомление вылезло значит не передан реферер, по этому подобные вещи довольно спорны, от ботов защищает довольно слабо, зато может помешать обычнлму юзеру
Всего: 20
© 2024, JohnCMS