| Autor | Správa |
|---|
chrono
Skúsený užívateľ
Založený: 13.11.2007
Príspevky: 808
 |  Zaslal: St 02.11.11 20:44 |   |
GET samozrejme funguje a určite si ho používal veľmi často aj ty  (napr. ak používaš jQuery zo stránok googleapis; obrázok z inej domény... a hlavne nejaký reklamný systém, z inej domény) |
| |
  |
|
Flety
Užívateľ
Založený: 26.11.2006
Príspevky: 4109
Bydlisko: HE(Humenne) - KE
Vek: 18
| | Zaslal: St 02.11.11 20:50 | |
Pýtam sa na GET a POST medzi doménami požiadavky pomocou AJAX. |
_________________
Desktop: CASE: Cooler Master Centurion 532 MB: ASUS P5K CPU: Intel Core 2 Quad Q6600@2,4GHz FSB 1066MHz RAM: A-Data Vitesta 2×2GB 800MHz Cl 5-5-5-12 GPU: Saphire ATi Radeon HD5850 Toxic HDD: Seagate Barracuda 500GB 7200rpm ODD1: LG DVD+/-RW + LS(PATA) ODD2:LG DVD+/-RW(SATA) PSU: Fortron Epsilon 700W LCD: LG L226W 1680x1050 2ms | |
     |
|
chrono
Skúsený užívateľ
Založený: 13.11.2007
Príspevky: 808
| | Zaslal: St 02.11.11 20:57 | |
V takom prípade nefunguje žiadna metóda (a teda GET, POST, PUT, DELETE..., alebo čokoľvek si vymyslíš). |
| |
|
|
Flety
Užívateľ
Založený: 26.11.2006
Príspevky: 4109
Bydlisko: HE(Humenne) - KE
Vek: 18
| | Zaslal: St 02.11.11 21:00 | |
OK, takže jediná možnosť pre CSRF je GET požiadavka napríklad v obrázku alebo v iFrami s vhodnými parametrami v adrese, ak server nepoužíva tokeny? |
_________________
Desktop: CASE: Cooler Master Centurion 532 MB: ASUS P5K CPU: Intel Core 2 Quad Q6600@2,4GHz FSB 1066MHz RAM: A-Data Vitesta 2×2GB 800MHz Cl 5-5-5-12 GPU: Saphire ATi Radeon HD5850 Toxic HDD: Seagate Barracuda 500GB 7200rpm ODD1: LG DVD+/-RW + LS(PATA) ODD2:LG DVD+/-RW(SATA) PSU: Fortron Epsilon 700W LCD: LG L226W 1680x1050 2ms | |
|
|
Ďuri
Administrátor
Založený: 11.08.2007
Príspevky: 3785
Bydlisko: Brno
| | Zaslal: St 02.11.11 22:20 | |
Ak server nepouziva tokeny, robis taky request, akym sposobom sa odosielaju data skriptu, ktory ich spracuva. Vacsinou to byva POST, takze by si vytvoril POST request.
Este jedna vec ti nie je mozno jasna: samotne zaslanie requestu nie je problem, vytvoris <form>, nechas ho Javascriptom automaticky odoslat; HTTP metoda moze byt hocijaka (preto v pripade nepouzitia tokenov a/alebo kontroly referera je CSRF jednoducha vec). Cross-origin obmedzenia ti prinesu problem len vtedy, ak sa snazis nieco vytiahnut z cudzej stranky, ktoru si predtym requestoval (preto sa nedostanes k tokenu). |
| |
 |
|
Flety
Užívateľ
Založený: 26.11.2006
Príspevky: 4109
Bydlisko: HE(Humenne) - KE
Vek: 18
| | Zaslal: Št 03.11.11 15:38 | |
OK, vďaka za info, pomohli ste mi. |
_________________
Desktop: CASE: Cooler Master Centurion 532 MB: ASUS P5K CPU: Intel Core 2 Quad Q6600@2,4GHz FSB 1066MHz RAM: A-Data Vitesta 2×2GB 800MHz Cl 5-5-5-12 GPU: Saphire ATi Radeon HD5850 Toxic HDD: Seagate Barracuda 500GB 7200rpm ODD1: LG DVD+/-RW + LS(PATA) ODD2:LG DVD+/-RW(SATA) PSU: Fortron Epsilon 700W LCD: LG L226W 1680x1050 2ms | |
|
|
|
