ugrás a tartalomhoz

CSRF

CSRF: Flash + 307 redirect = Game Over

Török Gábor · 2011. Feb. 11. (P), 08.09
HTTP 307-nél nem ellenőrzi a Flash a crossdomain.xml meglétét
 

CSRF védekezés, jogok kiosztása, captcha használat

inf3rno · 2010. Júl. 23. (P), 16.30

Sokat agyaltam azon, hogy milyen rendszerrel lehet megoldani a CSRF védekezést hatékonyan: most megszületett a megoldás.

Ami nyilvánvaló, hogy pusztán a HTTP referrer nem elég, mert nem támogatja az összes böngésző, emiatt ki kell küldeni egy olyan azonosítót, amit POST-ban visszaküld a felhasználó az űrlappal, és ezzel érvényesíti a kérését.