مقابله با CSRF [بایگانی]

irGeek

سه شنبه 29 آذر 1390, 12:52 عصر

میشه منبعی برا مقابله با حملات CSRF معرفی کنید.
چند راه برای مقابله با CSRF وجود داره؟:تشویق:

irGeek

سه شنبه 29 آذر 1390, 15:36 عصر

کسی نیست جواب بده؟

امیـرحسین

سه شنبه 29 آذر 1390, 15:52 عصر

بسته به جاش داره ولی ساده‌ترین راهش اینه که یک مقدار تصادفی رو به فرم یا URL اضافه کنیم و این مقدار رو در SESSION یا دیتابیس قرار بدیم. تنها Requestهایی معتبر هستند که اون مقدار تصادفیشون با مقدار موجود در دیتابیس یا SESSION یکی باشه....

irGeek

چهارشنبه 30 آذر 1390, 14:58 عصر

بسته به جاش داره ولی ساده‌ترین راهش اینه که یک مقدار تصادفی رو به فرم یا URL اضافه کنیم و این مقدار رو در SESSION یا دیتابیس قرار بدیم. تنها Requestهایی معتبر هستند که اون مقدار تصادفیشون با مقدار موجود در دیتابیس یا SESSION یکی باشه....
راه حل دیگه ای نبود. کجا بسشتر بخونم؟

idocsidocs

چهارشنبه 30 آذر 1390, 15:38 عصر

همین دو جا استفاده می شه. یکی توی لینکهایی که یه کار خاص مثل حذف یه مقاله انجام می دن و یکی هم توی فرمها.

همین دوتاست.

طرز استفاده: توی هر لاگین، یه رشته تصادفی جدید ایجاد می کنید و توی سسشن ذخیره می کنید.
این رشته رو به فرمها و لینکهایی که کار خاصی انجام می دن اضافه می کنید.

همین !

رضا قربانی

جمعه 02 دی 1390, 23:28 عصر

بفرما - آماده و منظم و قابل دانلود :
http://net.tutsplus.com/tutorials/php/protect-a-codeigniter-application-against-csrf/

اینم می تونه خیلی کمکت کنه :

http://shiflett.org/articles/cross-site-request-forgeries

یک مقاله زبان خارجی هم واست ضمیمه کردم که می تونی از اینم کمک بگیری :