Покинул форум
Сообщений всего: 57
Дата рег-ции: Апр. 2011
Помог: 0 раз(а)
Добрый день.
Делаю виджет, вставляемый на сайт клиента js-кодом
js формирует iframe, в котором виджет
Мой сервер получает домен клиента, на котором грузится виджет, пo HTTP_REFERER
Может ли пользователь как-то подменить этот HTTP_REFERER ?
Pinkya_rabbit
Отправлено: 28 Апреля, 2016 - 13:41:58
Новичок
Покинул форум
Сообщений всего: 17
Дата рег-ции: Апр. 2016 Откуда: Minsk перебираюсь в Питер
Помог: 1 раз(а)
А что это может дать? HTTP_REFERER это всего лишь заголовок. Он во фрейм и отдаст тот контент что HTTP_REFERER будет нести. А если он не соответствует - ошибка будет и т.п.
IllusionMH
Отправлено: 28 Апреля, 2016 - 13:44:19
Активный участник
Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011 Откуда: .kh.ua
Помог: 242 раз(а)
Pandion, легко. А в get параметрах ID сайта или просто ссылку на сайт проблематично разве через JS виджет добавлять?
Pandion
Отправлено: 28 Апреля, 2016 - 13:58:38
Новичок
Покинул форум
Сообщений всего: 57
Дата рег-ции: Апр. 2011
Помог: 0 раз(а)
Get-параметр как раз легко подменить (Добавление)
[quote=IllusionMH][/quote] как можно обезопаситься?
IllusionMH
Отправлено: 28 Апреля, 2016 - 14:47:39
Активный участник
Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011 Откуда: .kh.ua
Помог: 242 раз(а)
Pandion, в том то и дело что собрать свой запрос и отправить его с подменённым реферерром вообще не проблема. Даже браузер не нужен. Чуть сложнее чем GET, но всё равно не сложно.
Поэтому я и предлагал использовать GET.
Ну только авторзицаю какую-нить пилить.
OrmaJever
Отправлено: 28 Апреля, 2016 - 23:07:19
Активный участник
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
Pandion что бы от чего-то защититься нужно понять суть проблемы. Что будет если пользователь подменит реферер? Какие преймущества он получит?
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.