PHP/MySQL | CSRF
metrow 
TJersy
Добрый вечер.
Хотел бы узнать у мастеров, как они защищаются от CSRF атак?
Если можно по подробней. Гугл не выдал нужной информации.
Хотел бы узнать у мастеров, как они защищаются от CSRF атак?
Если можно по подробней. Гугл не выдал нужной информации.
TJersy, Токены) Читай о них)
CreepMatis 
ТонироваН 
CreepMatis (10.07.2015 в 21:53)
TJersy, Токены) Читай о них)
TJersy, Токены) Читай о них)
Друг, я перерыл достаточно информации, чтобы знать что такое токены.
Мне нужны примеры нормальные.
TJersy, пост два:) токены предотвращают действия выполняемые не владельцем того или иного аккаунта на сервере на который адресована атака
Array(php)
TJersy, что бы узнать от токенах подробнее свяжись с мобиаа он поможет:)
TJersy, Генерируй хэш, подставляй к формам, проверяй. Не совпадают - тогда прекращай доступ(или что то в этом роде). Совпали - продолжаем)
CreepMatis (10.07.2015 в 21:57)
TJersy, Генерируй хэш, подставляй к формам, проверяй. Не совпадают - тогда прекращай доступ(или что то в этом роде). Совпали - продолжаем)
TJersy, Генерируй хэш, подставляй к формам, проверяй. Не совпадают - тогда прекращай доступ(или что то в этом роде). Совпали - продолжаем)
Это ясно. Вот не ясно что: генерировать хэш при авторизации юзера(в кукки, 1 раз) или - же нужно каждый раз генерировать новый хэш?
________
посл. ред. 10.07.2015 в 21:59; всего 1 раз(а); by TJersy
TJersy, Т.е. так:
В форме делаешь скрытое поле token со значение $token. После записываешь в сессию, или как там) Проверяешь:
$token = md5(uniqid(time()));
В форме делаешь скрытое поле token со значение $token. После записываешь в сессию, или как там) Проверяешь:
if($token != $_POST['token']){
exit;
}
TJersy, Желательно - в каждой форме) Так писали на тостере)
Стр.: 1, 2
