|
טופס נשלח באמת מהעמוד??
יש לי טופס שיש בו כל מיני אפשרויות בחירה
כמובן שכל אפשרות נבדקת לפי תקינות קלט לפני שהיא ניכנסת למסד וכו' אבל עדיין במידה והטופס ישלחו מעמוד חיצוני ולא באמת מהעמוד שבאתר שלי זה יכול לגרום לבעיות יש דרך לאמת את זה? דרך שעובדת ב100 אחוז? ובכלל איזה עוד דרכים צריך לעשות בטפסים?(מנגנון הצפה כבר יש) על מנת למנוע פרצות מיותרות תודה |
ברגע שעבדת נכון עם הקוד, וביצעת אימות מול השרת
ולא רק מול הלקוח, אין לך ממה לדאוג ולחשוש. בעיקרון הקוד שלך בעיקר (יותר נכון, קודם כל) אמור לסנן מול השרת. ורק לאחר מכן, אתה יכול להוסיף צד-לקוח . הכוונה שלי, שזה לא משנה אם האימות בקוד יהיה קודם בסדר שהוא דבר ראשון בודק את הנתונים בצד לקוח, ואחר כך בצד שרת כי אתה יכול לעשות את הסידור של הקוד איך שבא לך ולפי הטעם, הראש והנוחות שלך. אבל העיקר, הכי חשוב הוא שהנתונים בסופו של דבר יבדקו ע"י הקוד אל מול השרת שלך. אם זה הנתונים שמועברים, נבדקים בצד שרת, אין לך מה לדאוג ואין לך חשש. |
ציטוט:
אפשרי דרך סישן לבדוק זאת. בהצלחה |
בעקרון, אי אפשר להיות בטוח. מה שאני ממליץ לך זה לבדוק HTTPֹ_REFER למרות שאפשר לערוך את זה, אבל זה מורכב. אני ממליץ לעשות כמו שנאמר מעלי שימוש בSESSION/COOKIE לצורך אימות.
|
token up your system :)
|
ssl?
|
גם tokens וגם SSL לא "יעלימו" את הסיכוי לשליחה מעמוד שונה.
אי אפשר למנוע את זה. פשוט בלתי אפשרי. אין סיבה שתצטרך למנוע ממישהו לעשות את זה... |
למה, עם טוקנים אתה יכול למנוע את רוב הניסיונות של C/XSRF שזה למעשה הקטע של ביצוע POST או GET מעמודים אחרים או טאבים אחרים
|
token+captcha צריכים להגן על רוב הבעיות בטפסים ציבוריים, לרוב קפצ'ה יספיק.
|
ציטוט:
|
| כל הזמנים הם GMT +2. הזמן כעת הוא 11:57. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ