Serg_pnz,
Спасибо.
|
Сообщение от Serg_pnz
|
|
Вы меня поставили в тупик - я таких слов не знаю)))
|
Про XSRF-ключ, я подразумеваю дополнительный параметр запроса, подтверждающий что он посла именно целевым приложением.
Обычно это что-те вроде HASH(остальные параметры запроса, секретный ключ)
Секретный ключ известен серверу, и доверенному приложению, и может быть зашит в клиентское приложение(тогда его можно достать оттуда),, либо назначатся при старте сессии.
Все это сделано для того чтобы не было такой ситуации:
1) На сайте А есть AJAX-запрос переводящий деньги от пользователя к пользователю за один заход.
2) На сайте Б есть скрытый фрейм, в котором запускается такой же запрос на сайт А, и в случае если пользователь авторизован на сайте А, то он теряет свои деньги.
Сайт А может проверять откуда пришел запрос(но не все браузеры поддерживают referrer), либо же валидировать запросы иными способами.
Для этого и нужен XSRF-ключ.
Он является подписью запроса, при чем ключ подписи в доверенном приложении стараются хранить в месте защищенном кросбразуерной политикой.
Например когда пользователь логинится на сайте, ему посылается кука с этим ключом.
Сайт в соседнем окне, уже не прочитает эту куку.
ЗЫ Простите, понесло
