 Jak to w końcu jest z tym http_refererem |
| Jak to w końcu jest z tym http_refererem |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 278 Pomógł: 35 Dołączył: 25.06.2010 Ostrzeżenie: (0%) 
 |
Przekopałem trochę forum, ale nie znalazłem tego czego dokładnie szukałem...
Takie tylko linki... http://forum.php.pl/index.php?showtopic=35422 http://forum.php.pl/index.php?showtopic=18535 Chodzi mi o to na ile można ufać zmiennej $_SERVER['HTTP_REFERER']. Wykorzystuję ową zmienną, aby zabezpieczyć formularz logowania. Logowanie odbywa się dopiero gdy login i hasło zostało przesłane z określonej strony. Tylko wszędzie czytam że http_referer nie jest godzien zaufania (IMG:style_emoticons/default/dry.gif) Jak to jest? Czy można jakoś (i w jaki sposób ) zmienić jego wartość i podszyć się pod stronę z której się logujemy? Ten post edytował gargamel 3.11.2010, 13:39:41 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)
|
Nagłówek REFERRER jest wysyłany przez klienta i może w nim być dosłownie wszystko.
Ochronę przed CRSF robi się nieco inaczej. Na stronie z formularzem generujesz unikalny token, zapisujesz go jako zmienną sesyjną, a do formularza dodajesz ukryte pole z tym tokenem. Na stronie odbierającej formularz sprawdzasz czy przesłany token jest taki sam jak ten z sesji. |
|
|
|
gargamel Jak to w końcu jest z tym http_refererem 3.11.2010, 13:38:44 
hind http_referer jest wysyłany przez przeglądarkę... p... 3.11.2010, 13:51:32 tehaha nie polegaj na tej zmiennej, lepiej ustaw sobie zm... 3.11.2010, 13:58:08 gargamel No ok.
Tylko hmm... wyprowadźcie mnie z błędu, bo ... 4.11.2010, 13:12:55 
Crozin Tak, jeżeli to Ty bezpośrednio wchodzisz na tę str... 4.11.2010, 13:46:47  |
|
Aktualny czas: 5.10.2025 - 14:31 |
