• 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
چطوری میشه از چندبار اجرای یک فرم بعلت چندبار کلیک کردن جلوگیری کرد؟
#11
خب آخه csrf هر سری عوض میشه .
  پاسخ
تشکر شده توسط :
#12
منظورتون از هر سری چیه؟
csrfای که من استفاده میکنم ، هر بار لاگین بشه تغییر میکنه و در طول برنامه ثابت میمونه ، اینجوری نیست که یه صفحه باز شه کوکی رو تغییر بدم .
چون اگه اینجوری باشه اومدیم کاربر 10 تا صفحه رو باز کرد ، اونوقت به ازای هرکدومشون یکبار csrf ست میشه ، در نتیجه 9 تا از فرم ها درست کار نمیکنن و خطای csrf میدنDodgy
csrf از لاگین تا لاگ آوت ثابت میمونه .
  پاسخ
تشکر شده توسط : ali786
#13
میشه توضیح بدین این CSRF چیه؟
از یه همچین چیزی توی کد جاوا اسکریپتم استفاده کردم درست شد:
کد:
formObj.submit.disabled = true;  
        formObj.submit.value = 'Please Wait...';  
        return true;
بنده طعم ايمان را نمي چشد، تا اينكه دريابد آنچه اتفاق نيفتاده است نمي شد كه اتفاق بيفتد؛و آنچه شده و اتفاق افتاده است,نمي شد كه نشود و اتفاق نيفتد....حضرت علي(ع)
  پاسخ
تشکر شده توسط :
#14
نقل قول:میشه توضیح بدین این CSRF چیه؟
تو انجمن خیلی توضیح دادن ، بهرحال از اون آموزش های 5 دقیقه ای در خدمتیمBig Grin

فرض کن مدیر توی سایت لاگین میکنه ، حالا میتونه مثلاً با آدرس
mysite.ir/admin/deletepost.php?id=8
مطلب شماره 8 رو حذف کنه .

حالا من دارم همزمان با مدیر سایت چت میکنم و مطمئنم توی سایتش لاگین هست .
یه صفحه بهش میدم میگم بیا ببین این عکسای توی این صفحه خوشکله؟Big Grin
بعد توی اون صفحه ای که بهش میدم آدرس عکسها رو اینجوری میذارم .

کد:
<img src="http://mysite.ir/admin/deletepost.php?id=8" />
بعد اون میاد میگه این که عکس نیست !
بعد یه هو میره سایت خودش میبینه مطلب 8 حذف شدهBig Grin

حالا این یه مثال ساده بود .
در کل یک نوع حمله به urlهاست راه حلشم اینه وقتی کاربر لاگین میکنه یک مقدار رندم رو توی کوکیش قرار میدی و بعنوان token به آدرس ها اضافه میکنی .
mysite.ir/admin/deletepost.php?id=8&token=aabbccddee
بعد از هر درخواست چک میکنی مقدار token با مقدر کوکی ست شده در کاربر یکی هست یا نه اگر یکی بود عملیات حذف رو انجام بده .

پ ن : حالا این یه مثال ساده بود برای مثلاً حذف کردن ، با بررسی سیستم میشه کارای خوشکتری هم کرد .
همچنین میشه اون عکس رو بعنوان ایمیل برای مدیر فرستاد و ...Wink
  پاسخ
تشکر شده توسط : pary_daryayi ali786 hamid_80386
#15
والا فکر میکنم فکر میکنم روی زند 1 و ولیدشن هاش برای هر فرم جدا ساخته میشه .
  پاسخ
تشکر شده توسط :
#16
حرف zend اومد ، بهتره داش وحید بیاد Angel
  پاسخ
تشکر شده توسط :
#17
نقل قول:همچنین میشه اون عکس رو بعنوان ایمیل برای مدیر فرستاد
کلاً شما بیا اصلاً display اون رو none بزار و یه عکس واقعی دیگه نشون بده، جواب میده، هیشششکی هم نمیفهمه Wink
هر که با مرغ هوا دوست شود - خوابش آرامترین خواب جهان خواهد بود.
  پاسخ
تشکر شده توسط :
#18
استعدادشو داریWink
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان