Ale pozor, to situáciu úplne nerieši. Tomuto útoku sa hovorí CSRF: Cross-Site Request Forgery. Niekto ťa prinúti ísť na nejakú stránku a na nej bude napr kód:
Kód:
<img src="http://www.tvojastranka.sk/subor.php?id=100">
Ak budeš zároveň prihlásený, tak sa ten skript spustí a súbor sa vymaže.
Obrana proti tomuto typu útokov je zložitejšia. Útočníkovi to môžeš sťažiť ak budeš na mazanie používať výlučne POST metódu. Ani to však nie je 100% ochrana. Tou sú špeciálne tokeny.
Princíp tokenov funguje takto: keď si dáš zobraziť nejakú stránku na ktorej je tlačidlo "Vymazať", vygeneruješ špeciálny token (nejaký reťazec, zakaždým iný!). Tento token si uložíš (najlepšie asi do databázy) a zároveň ho zahrnieš ako tajné formulárové pole
Kód:
<input type="hidden" value="totoJeTvojUnikatnyToken"
. Keď niekto niekedy stlačí tlačidlo "Vymazať", s idčkom článku na vymazanie sa zároveň odošle token. Pri spracúvaní požiadavku sa pozrieš, či je niekde v databázi tento token. Ak je, požiadavka určite odišla z tvojej administrácie a môžeš token zneplatniť a článok vymazať. Inak sa článok nevymaže (a môžeš napr. zobraziť chybovú hlášku).
Je veľmi dôležité, aby sa tokeny vždy použili iba raz a aby sa neopakovali. Potom si tiež treba napísať údržbový skript, ktorý raz za čas vymaže staré nepoužité tokeny.
A. S. Tanenbaum píše:
The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice.
veď ten token tam bude či je admin alebo nieje, nie?
