CSRF

CSRF: Flash + 307 redirect = Game Over

Török Gábor · 2011. Feb. 11. (P), 08.09

HTTP 307-nél nem ellenőrzi a Flash a crossdomain.xml meglétét

■

CSRF védekezés, jogok kiosztása, captcha használat

inf · 2010. Júl. 23. (P), 16.30

Sokat agyaltam azon, hogy milyen rendszerrel lehet megoldani a CSRF védekezést hatékonyan: most megszületett a megoldás.

Ami nyilvánvaló, hogy pusztán a HTTP referrer nem elég, mert nem támogatja az összes böngésző, emiatt ki kell küldeni egy olyan azonosítót, amit POST-ban visszaküld a felhasználó az űrlappal, és ezzel érvényesíti a kérését.

csirip
19

Friss blogmarkok

Web Akadálymentesítési Útmutató (WCAG) 2.1 – nyilvános munkaterv – Megjelent a WCAG (Web Akadálymentesítési Útmutató) 2.1 nyilvános munkaterv (0)
MongoDB Apocalypse Is Here as Ransom Attacks Hit 10,000 Servers – Több tízezer védtelen MongoDB szerverre csaptak le hackerek (2)
12 Signs You’re Working in a Feature Factory – A cél nélküli funkciógyártás néhány tünete (0)
Translatable, custom dates in Twig templates of Drupal 8 – Saját dátumok megjelenítése, fordíthatóan a Drupal 8 smink rétegével dolgozva (0)
NativeScript – Cross-Platform Native Development with Javascript – Fejlesszünk natív mobilalkalmazást JavaScripttel (0)
GitHub Security Update: Reused password attack – Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk (17)
UX Design könyv – Hogyan tervezz felhasználóbarát és szerethető alkalmazásokat? (0)
Introducing unlimited private repositories – Megváltozik a GitHub díjszabása: minden előfizetéshez korlátlan számú privát repository jár (0)
Drupal 8 Twig: add custom CSS classes to menus (based on menu name) – Saját elképzeléseink szerinti CSS osztályok (automatizált) hozzáadása a Drupal 8 menüihez (0)