Я уже видел несколько вопросов отсюда (stackoverflow) и ЭТО сообщение, но у меня все еще есть вопросы ...
Использование скрытого значения в форме сообщения и проверка это когда пост достигает сервера.
- Скрытое значение можно легко скопировать и отправить точно так же, как и настоящее, «трудно угадать» (например, md5) не поможет. (правильно?)
Установка cookie, когда вы переходите к форме и отправляете значение cookie как скрытое значение.
- Вы можете легко изменить значение файла cookie или отправить собственный файл cookie, точно такой же, как настоящий, с тем же самым реальным скрытым значением. (верно?)
Используя «тайм-аут», значения POST не могут быть достигнуты слишком поздно.
- Итак, если вы будете медленными, у вас ничего не получится, когда вы попытаетесь настроить все со скрытым значением. Если ты будешь быстрым, это сработает. (верно?)
Я хочу быть защищенным в отношении CSRF ... но как именно я это делаю?
задан Oded 3 January 2012 в 18:11
поделиться