טופס נשלח באמת מהעמוד??

[Daniel]

ציטוט:

נכתב במקור על ידי nitsanbn

למה, עם טוקנים אתה יכול למנוע את רוב הניסיונות של C/XSRF שזה למעשה הקטע של ביצוע POST או GET מעמודים אחרים או טאבים אחרים

אם אני ארצה מדף קיים לשנות דברים מסויימים -
אני אשתמש עכשיו ב-firebug (או אעשה בדיוק את אותו הדבר באמצעות javascript: document.get.....Id(...).maxLength = 100000000000; void 0;

אם מישהו מאוד ירצה הוא יוכל לעבור כל אימות בצד לקוח.

ואם אני ארצה לשלוח מדף אחר -
אני בעזרת IFRAME (ל-AJAX עלול להיות Security Limitations), אשיג את ה-TOKEN בטופס, ואדאג לשלוח אותו למקום המתאים.


אי אפשר לחסום את זה.