Site Tools


csrf

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

csrf [2016/06/14 13:31]
conovaloff created
csrf [2016/06/14 13:43] (current)
conovaloff
Line 5: Line 5:
   * На стороне сайта который защищаем,​ создавать ключ хэш-ключ с солью + на основе логина пользователя. Злоумышленник не сможет создать такой ключ, так как не знает соль и метод хэширования. Только сайты которые знают как захэшировать эти данные смогут сгенерировать корректный хэш-ключ.   * На стороне сайта который защищаем,​ создавать ключ хэш-ключ с солью + на основе логина пользователя. Злоумышленник не сможет создать такой ключ, так как не знает соль и метод хэширования. Только сайты которые знают как захэшировать эти данные смогут сгенерировать корректный хэш-ключ.
  
 +=== Если мы хотим хранить хэш-ключ на клиенте?​ ===
 +... и не хотим каждый раз генерировать новый хэш-ключ. То мы можем хранить хэш-ключ в куки и требовать,​ чтобы AJAX запросы подсовывали эту куку в HTTP заголовок запроса.
 +
 +Суть защиты в том, что злоумышленник со своего сайта не может заставить браузер клиента взять свою куку (с сайта на который нападаем) и отправить ее вместе с запросов с сайта злоумышленика.
csrf.txt · Last modified: 2016/06/14 13:43 by conovaloff

Page Tools