POST vs GET

[daGrevis]

Sveiki,

Pirms neilga laiciņa tepat lasīju, ka bija ieteikums, kas izklausās sakarīgs, ka nevajag veidot tādus linkus - delete-news.php?id=134 - tam visam būtu jābūt ar POST metodi veidotam, jo pretējā gadījumā kāds nelabs cilvēks var adminam atsūtīt linku, un admins, pārsteigts, ka viņam arī kas ir atnācis, to atver vaļā un... Raksts dzēsts! =( Idejas? Patiešām POST metode? =(

[rATRIJS]

http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol#Request_methods

[briedis]

Pret CSRF cīnās netikai ar POST datu lietošanu. Var izmantot arī dažādus tokenus sesijā.

[codez]

Pret CSRF cīnās netikai ar POST datu lietošanu. Var izmantot arī dažādus tokenus sesijā.

 

Tokens sesijā, ja tā tiek nodota caur cookijiem nepalīdzēs, jo arī ļaunais uzbrucējs var izveidot lapu, kurā is slēpts ifreims, kurš POST-o datus, šādā gadījumā mērķa POST pieprasījums aizies ar visiem tā domeina cookijiem. Šeit gan varētu izlīdzēties ar referrera pārbaudi servera pusē - vai referreris ir pati lapa.

Taču standarta drošs veids, kā nosūtīt serverim kādu komandu, ir izmantot POST datus sūtīšanai un token-u, kurš nosūtīts ar iepriekšējo requestu - tas var būt kā: input lauks htmlā vai javascript mainīgais.

Kad parasti taisu ajax-īgas aplikācijas, kur visi posti ir ar ajax-u, tad ar jquery pielieku, lai automātiski visiem ajax request-iem pievieno token-u un servera pusē automātiski visiem javascripitem tiek pārbaudīta token-a pareizība.

 

    $.ajaxSetup({data:{_token:_token}});

Edited November 12, 2010 by codez