Autor Zpráva
Tarusha
Profil *
Ahoj,

na webu mám formulář pro přidání inzerátu. Je možné jeho odeslání omezit pouze na jednu doménu? Jde mi o to, aby si někdo neuložil formulář, nepřepsal data a nezahlcoval pak server.
ShiraNai7
Profil
Používej XSRF token nebo kontroluj referer (ten ale není dostupný vždy). Taky může pomoci CAPTCHA (kontrolní kód, co se musí přepsat).
Šéva
Profil
Ahoj,
jestli jsem to pochopil dobře, tak můžes zkusit kontrolovat pomocí $_SERVER["HTTP_HOST"] doménu ze které přišel požadavek a když to bude ta tvoje, tak pak se teprve vrhni na kontrolu formuláře
ShiraNai7
Profil
Šéva:
V $_SERVER['HTTP_HOST'] bych očekával hosta aktuálního serveru, ne hosta stránky, na základě které se požadavek vykonal.
Keeehi
Profil
A kdyby tam byl host stránky, na které se požadavek vykonal, tak pak by nebyl problém ho odvrhnout.

Obranou před zkopírováním formuláře je autorizační token o kterém už pral ShiraNai7. Pokud by o to útočníkovi opravdu šlo, šel by vytvořit script/program, který by odesílal formulář přímo z vašich stránek. Tam ani token nepomůže. Tam je pak potřeba využít CAPTCHA (což nemusí nutně znamenat jen opisování zdeformovaného textu).

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: