ForJest
- свежая кровь
{}
Полная версия топика здесь
Здесь выжимки и совсем немного флейма, для того, чтобы было легче читать.
{}
HTTP_REFERER стоит проверять. Потому что возможна ситуация хака скриптов:
1. Человек авторизован на каком-нибудь сервисе service.com
2. Он нажимает ссылку, которую ему дали и уходит на другой хост hack.net
3. Страница hack.net формирует POST запрос согласно логике приложения service.com (с помощью hidden полей и JS самбита формы) и отправляет его на service.com. Это может быть допустим смена пароля. Или очистка всех сообщений. Или мало ли ещё что.
4. Запрос приходит на service.com из браузера авторизованного пользователя. Соответственно система принимает его и обрабатывает, если не обработан HTTP_REFERER/
Полная версия топика здесь
Здесь выжимки и совсем немного флейма, для того, чтобы было легче читать.
{}
HTTP_REFERER стоит проверять. Потому что возможна ситуация хака скриптов:
1. Человек авторизован на каком-нибудь сервисе service.com
2. Он нажимает ссылку, которую ему дали и уходит на другой хост hack.net
3. Страница hack.net формирует POST запрос согласно логике приложения service.com (с помощью hidden полей и JS самбита формы) и отправляет его на service.com. Это может быть допустим смена пароля. Или очистка всех сообщений. Или мало ли ещё что.
4. Запрос приходит на service.com из браузера авторизованного пользователя. Соответственно система принимает его и обрабатывает, если не обработан HTTP_REFERER/