Добрый день.
Делаю виджет, вставляемый на сайт клиента js-кодом
js формирует iframe, в котором виджет
Мой сервер получает домен клиента, на котором грузится виджет, пo HTTP_REFERER
Может ли пользователь как-то подменить этот HTTP_REFERER ?
1. Pandion - 28 Апреля, 2016 - 12:49:24 - перейти к сообщению
2. Pinkya_rabbit - 28 Апреля, 2016 - 13:41:58 - перейти к сообщению
А что это может дать? HTTP_REFERER это всего лишь заголовок. Он во фрейм и отдаст тот контент что HTTP_REFERER будет нести. А если он не соответствует - ошибка будет и т.п.
3. IllusionMH - 28 Апреля, 2016 - 13:44:19 - перейти к сообщению
Pandion, легко. А в get параметрах ID сайта или просто ссылку на сайт проблематично разве через JS виджет добавлять?
4. Pandion - 28 Апреля, 2016 - 13:58:38 - перейти к сообщению
Get-параметр как раз легко подменить
(Добавление)
[quote=IllusionMH][/quote] как можно обезопаситься?
(Добавление)
[quote=IllusionMH][/quote] как можно обезопаситься?
5. IllusionMH - 28 Апреля, 2016 - 14:47:39 - перейти к сообщению
Pandion, в том то и дело что собрать свой запрос и отправить его с подменённым реферерром вообще не проблема. Даже браузер не нужен. Чуть сложнее чем GET, но всё равно не сложно.
Поэтому я и предлагал использовать GET.
Ну только авторзицаю какую-нить пилить.
Поэтому я и предлагал использовать GET.
Ну только авторзицаю какую-нить пилить.
6. OrmaJever - 28 Апреля, 2016 - 23:07:19 - перейти к сообщению
Pandion что бы от чего-то защититься нужно понять суть проблемы. Что будет если пользователь подменит реферер? Какие преймущества он получит?