teddy пишет:
Токен тоже.против замазанного айфрейма реферер бессилен
teddy пишет:
Какая разница куда ты (пост формы, экшн формы, срц фрейма) распихиваешь параметры?Этого токена не будет в POST форме
Токен всеравно будет где-то в контексте запроса.
teddy пишет:
одноразовый/многоразовый
Да хоть полуразовый.
teddy пишет:
А токен это (само|недо|пере)произвольный текст?заголовки - произвольный текст
teddy пишет:
Не надо ничего шаманить на стороне приложения кроме реферера.дополнительно шаманить
Все остальное шаманицца в конфиге сервера: корс + фреймопшнс (ну ладно, можно и это впилить в приложение ради бомжей селящихся на шаредах)
Кстати, что мне помешает написать проверку реферера и для подгрузки списка пользаков?
(для меня это две строки кода в экшне, а в новой версии я впилю это сразу в базовую форму)
Социальная инженерия сразу обсерится, т.к. придется мазанную форму сначала бросить просто в админку, затем заставить кликнуть на список пользаков, а потом уже что-то делать с пользаком ))
Ну и чтоб ты понимал (ну вдруг ты не понял о чем я): http://www[dot]deep-cms[dot]ru/api/sourc[dot][dot][dot]est[dot]html#312-348
Проверка там идет в два этапа:
1) проверяет только домен
2) проверяет путь от корня сайта, где правила проверки можно задавать и регуляркой
Вызывается оно в экшне удаления пользака, например, типа так:
PHP:
скопировать код в буфер обмена
скопировать код в буфер обмена
- $adminToolsLink = app::config()->site->admin_tools_link;
- request::validateReferer($adminToolsLink . '/users');