ציטוט:
נכתב במקור על ידי nitsanbn
למה, עם טוקנים אתה יכול למנוע את רוב הניסיונות של C/XSRF שזה למעשה הקטע של ביצוע POST או GET מעמודים אחרים או טאבים אחרים
|
אם אני ארצה מדף קיים לשנות דברים מסויימים -
אני אשתמש עכשיו ב-firebug (או אעשה בדיוק את אותו הדבר באמצעות javascript
: document.get.....Id(...).maxLength = 100000000000; void 0;
אם מישהו מאוד ירצה הוא יוכל לעבור כל אימות בצד לקוח.
ואם אני ארצה לשלוח מדף אחר -
אני בעזרת IFRAME (ל-AJAX עלול להיות Security Limitations), אשיג את ה-TOKEN בטופס, ואדאג לשלוח אותו למקום המתאים.
אי אפשר לחסום את זה.