d
Size: a a a
2020 July 30
РД
Если хранить токен на фронте, то его смогут посмотреть через код страницы и слать свои запросы.
Csrf токен генерируй с каждым открытием страницы, пиши его в hidden поле и в сессию, а потом шли вместе с запросом и сравниваний со значением в сессии
РД
Csrf токен генерируй с каждым открытием страницы, пиши его в hidden поле и в сессию, а потом шли вместе с запросом и сравниваний со значением в сессии
В него можно шифровать много пунктов:
Браузер, айпи, логин, время, ключ и т.д.
Браузер, айпи, логин, время, ключ и т.д.
V
Csrf токен генерируй с каждым открытием страницы, пиши его в hidden поле и в сессию, а потом шли вместе с запросом и сравниваний со значением в сессии
А если это гет запрос? Пхаем токен во все урл на странице?🙂
РД
А если это гет запрос? Пхаем токен во все урл на странице?🙂
Дык не на страницу. Я про аякс сейчас говорил
VS
Всем привет, оч странный вопрос будет, кто работал с этой штукой и где ее скачать можн(на просторах инета не нашел) https://www.conftool.net/en/index.html
РД
Если get и апи, то самый обычный токен из ЛК
V
Дык не на страницу. Я про аякс сейчас говорил
Всё равно сложно. Если юзер захочет открыть 20 вкладок, то нам надо помнить 20-30 токенов. Хз, надо думать. У меня работает так как выше описал, а csrf по прямому назначению используется.
S
бан
РД
Всё равно сложно. Если юзер захочет открыть 20 вкладок, то нам надо помнить 20-30 токенов. Хз, надо думать. У меня работает так как выше описал, а csrf по прямому назначению используется.
Пусть напишет условие тогда:
if (!isset($_REQUEST['csrf']) && !isset($_REQUEST['token'])) {
die('hacking attempt');
}VS
Ребята подскажите где можно скачать такую дичь ? https://www.conftool.net/en/index.html