Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 14.07.2018, 21:33
Кандидат Javascript-наук
Отправить личное сообщение для zlodiak Посмотреть профиль Найти все сообщения от zlodiak
 
Регистрация: 24.02.2012
Сообщений: 104

2 способа защиты от csrf
я не совсем понимаю зачем в статьях так замороченно описывают защиту от csrf. ниже я опишу очень простой сопсоб, а вы пожалуйста скажите в чём я не прав:

токены не использовать, а сервер будет проверять только атворизационную куку и заголовок origin (или referer). таким образом пользоваться сайтом смогут все пользователи кроме тех что зашли в анонимном режиме хрома или другим извращённым способом. но таких мало

если сервер видит, что в пришедшем запросе установлен разрешённый origin (referer) и прикреплено верное значение авторизационной куки, то значение формы обрабатывается
Ответить с цитированием
  #2 (permalink)  
Старый 15.07.2018, 16:15
Аватар для Alexandroppolus
Профессор
Отправить личное сообщение для Alexandroppolus Посмотреть профиль Найти все сообщения от Alexandroppolus
 
Регистрация: 25.10.2016
Сообщений: 1,004

zlodiak,
Referer давно рассматривался как способ, но был признан неправильным. Вот, например:
https://intsystem.org/security/strip...r-in-redirect/
Ответить с цитированием
  #3 (permalink)  
Старый 15.07.2018, 16:58
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,990

zlodiak, если учесть, что сервер (атакующий может его использовать) позволяет подделать referer, то он не может быть "гарантированной защитой". А вообще все гораздо серьезнее, ведь эксплуатируются не только страница/браузер, но различные уязвимости, которые увы есть и всегда будут.

https://xakep.ru/2011/10/31/57627/
https://xakep.ru/2006/10/20/34592/
https://xakep.ru/2008/03/13/42758/
...
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Прошу совета по выбору способа отображения страницы kupidon jQuery 10 05.01.2018 12:15
Подскажите скрипт для защиты от копирования текста - обфускация лучше запрета frenzy Общие вопросы Javascript 18 27.03.2016 17:08
Помощь по CSRF nicklan Общие вопросы Javascript 4 25.06.2012 01:44
Небольшая задачка... (CSRF) nicklan Javascript под браузер 0 22.06.2012 11:53
Требуется написать скрипт защиты от удаления товара из корзины для Virtuemart umitru Работа 19 01.02.2012 14:30