|
Даже при наличии в админке ссылки /redir?/user,
админ может, находясь на странице /admin?token=jtcvbliugkbk, вставить в адресную строку ссылку /user, перейти туда и будет доступен document.referrer (ой, ниже подсказали, что не будет).
Сервер должен блокировать /user, если HTTP_REFERER == /admin
Последний раз редактировалось brizing, 01.04.2018 в 16:47.
|