confirm.php
Php session_start (); $ токен = md5 (uniqid ()); $ _SESSION ['delete_customer_token'] = $ токен; session_write_close (); ?>
confirm_save.php
Допустим, у нас есть типичная защита от CSRF, подобная этой Что, если злоумышленник использует этот код для обхода токена csrf?
//On any site
//csrf.php
$cont = get_file_contents("http://cia.google.com/confirm.php");
// parse the html using [PHP Simple HTML DOM Parser][2] and get the CSRF token
//CURL and send a POST request to confirm_save.php with the token
Меня это беспокоит, но я слишком ленив, чтобы пытаться атаковать любой случайный сайт. Разве это невозможно?
Пример кода был украден из , предотвращающий csrf в php
Обновлено
Что происходит, когда кто-то хочет передать токен с одной платформы на другую или со стороны сервера на сторону клиента ? Например, Flash на PHP, как его защитить от csrf?