CSRF: без токенов

[MildMildMint]

CSRF: без токенов

Чем плох следующий метод защиты: вырезать POST в запросах, где реферер сайта не равен рефереру текущего сайта?
И вести список исключений для сервисов с callback.

 

[Фанат]

пособирай статистику - сколько честных юзеров не отдает в реферере адрес сайта

 

[MildMildMint]

А когда его может не быть?
Я впринципе вижу 1 вариант: когда пользователь влез в настройки браузера и испоганил их.
Однако как правило у них нет ни JS, ни флеша, рекламу они тоже не смотрят...

Или есть какие-то другие причины?
И кстати да. По логам, я понимаю, эту информацию не проследить.
Где найти статистику?

 

[zerkms]

MildMildMint
Его может не быть, когда антивирус-фаервол-прокси-ещё-что-то взяли и вырезали его.

 

[fixxxer]

залогируй рефереры, не являющиеся корректными урлами

узнаешь много интересного)