Autor | Zpráva | ||
---|---|---|---|
Tarusha Profil * |
#1 · Zasláno: 30. 8. 2012, 12:05:07
Ahoj,
na webu mám formulář pro přidání inzerátu. Je možné jeho odeslání omezit pouze na jednu doménu? Jde mi o to, aby si někdo neuložil formulář, nepřepsal data a nezahlcoval pak server. |
||
ShiraNai7 Profil |
#2 · Zasláno: 30. 8. 2012, 12:12:02
Používej XSRF token nebo kontroluj referer (ten ale není dostupný vždy). Taky může pomoci CAPTCHA (kontrolní kód, co se musí přepsat).
|
||
Šéva Profil |
#3 · Zasláno: 30. 8. 2012, 12:14:52
Ahoj,
jestli jsem to pochopil dobře, tak můžes zkusit kontrolovat pomocí $_SERVER["HTTP_HOST"] doménu ze které přišel požadavek a když to bude ta tvoje, tak pak se teprve vrhni na kontrolu formuláře |
||
ShiraNai7 Profil |
#4 · Zasláno: 30. 8. 2012, 15:07:59
Šéva:
V $_SERVER['HTTP_HOST'] bych očekával hosta aktuálního serveru, ne hosta stránky, na základě které se požadavek vykonal.
|
||
Keeehi Profil |
#5 · Zasláno: 30. 8. 2012, 15:25:00
A kdyby tam byl host stránky, na které se požadavek vykonal, tak pak by nebyl problém ho odvrhnout.
Obranou před zkopírováním formuláře je autorizační token o kterém už pral ShiraNai7. Pokud by o to útočníkovi opravdu šlo, šel by vytvořit script/program, který by odesílal formulář přímo z vašich stránek. Tam ani token nepomůže. Tam je pak potřeba využít CAPTCHA (což nemusí nutně znamenat jen opisování zdeformovaného textu). |
||
Časová prodleva: 12 let
|
0