Abuse Melding

Je hebt een klacht over de onderstaande posting:

20-10-2010, 16:28 door Anoniem

Door Hugo: De referer kan gebruikt worden om XSRF tegen te gaan (een POST met een andere website als referer). Prima als ze de Referer header uitzetten, maar dan moet daar wel een XSRF controle in de browser voor terug komen.Het probleem is de F van Forgery, dat je niet tegengaat met de HTTP Referer Header. Misschien moet je voor een opgevraagd formulier in real-time een token genereren die aan server-zijde gedurende de sessie een aantal minuten wordt bewaard, waarop gecontroleerd kan worden wanneer de bezoeker gebruikmaakt van het formulier en deze terug POST. Ontbreekt het token, correspondeert het token niet met die is onthouden of is de sessie verlopen, dan de toegezonden POST-Request negeren en melding maken dat het niet werd geaccepteerd. Een andere mogelijkheid is om de formuliervelden te 'tokaniseren', dat je in plaats van veldnamen als 'name' en 'email' per sessie en bevraging steeds real-time tokens genereerd, die natuurlijk tijdelijk worden onthouden aan server-zijde. input type="text" ...

Beschrijf je klacht (Optioneel):

captcha