|
Сообщение от Starkua
|
|
Там пишется о XSRF - но это фактически то-же самое что и XSSI, только второе - это джаваскрипт файлы.
|
Это совсем не то же самое. ТС говорит о уязвимости сайта через скрипты которые генерируются на лету в зависимости от авторизации пользователя. Таким образом эти данные доступны хакеру в чистом виде и пользователь даже не подозревает о том что его данные в это время получают не напрягаясь. Недавно об этой уязвимости мне сообщил знакомый который сидит в контакте но о вэбе знаком только по общению со мной. В контакте эта уязвимость есть вроде еще.
На мой взгляд как это предотвращать:
<?php if (!$_COOKIE['INDEX_LOAD']) exit('No direct access'); ?>
А в сессию прописывать только при заходе с главной страницы. А куку держать до окончания сессии вне зависимости от автологина.
Хотя и это обойти можно: просто перед запросом данных запросить главную страницу контакта.
Простой способ не попасть на эту уязвимость - logout в контакте.