|
Сообщение от Aetae
|
|
откуда админ возьмёт этот ваш jtcvbliugkbk?
|
Из тела страницы в админке. Тупо все ссылки на админскую часть сайта уже идут с правильным токеном; ссылки на юзерскую часть - без токена (обычно их открывают в новой вкладке).
|
Сообщение от Aetae
|
|
/user имеет доступ к телу страницы.
|
/user - не админская страница, соответственно у неё нет доступа к токену.
|
Сообщение от Aetae
|
|
Человек переходя на /admin каждый раз заново авторизуется, а переходя по любой другой внутрисайтовой ссылке авторизацию теряет? Никто так делать не будет, т.к. неудобно.
|
Именно так и делают. Админская часть в одних вкладках, юзерская - в других. Немного неудобно, согласен, зато безопасно.
|
Сообщение от Aetae
|
|
При том всё равно, если у такого "админа" случайно окажется висеть открытая вкладка с /user при заходе на /admin, то, как только авторизация пройдёт, скрипт с /user повторяющийся с интервалом получит все доступы.
|
Не получит, ибо нет доступа к токену.