Witam,
Poszukuję rozwiązania, które zabezpieczy stronę przed atakami CSRF.
Ataki te mogę przychodzić za pomocą żądań $_POST, $_GET, wywołań AJAX-a itp. W przykładach, które znalazłem do tej pory stosowany jest hash dodawany do ukrytych pól formularza. Rozwiązanie proste i efektywne, ale ma jedną wadę - nie działa przy wywołaniach AJAX-a.
Dlatego wymyśliłem małą modyfikację tego rozwiązania:
Hasz przechowywany jest w tabeli użytkowników i regenerowany z każdym logowaniem. Po poprawnym zalogowaniu zapisywany jest do sesji i porównywany z haszem, który przychodzi w kolejnych żądaniach.
Pytanie do ekspertów z dziedziny bezpieczeństwa: Czy to rozwiązanie ma szansę działać?
Pełna wersja: [php] Ataki CSRF
Nie do końca jestem pewny...
Wydaje mi się, że coś pominąłeś...
Stwórz taki skrypt jak opisałeś i sprawdź czy działa
Jeśli tak to zobacz czy na jakikolwiek sposób można go obejść
a jeśli nie to pogadaj z kimś kto taki skrypt mógłby ci przygotować ;D
Wydaje mi się, że coś pominąłeś...
Stwórz taki skrypt jak opisałeś i sprawdź czy działa
Jeśli tak to zobacz czy na jakikolwiek sposób można go obejść
a jeśli nie to pogadaj z kimś kto taki skrypt mógłby ci przygotować ;D
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.