Thread RFC: Neue Einstellung als Schutz gegen CSRF
(7 answers)
Opened by pq at 2012-03-29 16:50
die einzige alternative, die mir einfallen würde, ist allerdings ein bisschen komplizierter (und vermutlich für ein forum hier zuviel aufwand).
1. man liefert den thread mit X-Frame-Options SAMEORIGIN aus, um laden in einem fremden iframe zu verhindern 2. man markiert den thread nicht direkt als gelesen, sondern sendet vom html der thread-seite eine weitere anfrage an den server (/bat/poard/mark_read/<thread_id>?token=....), z.b. durch ein eingebettetes <img> oder durch ajax. dann erst wird der thread als gelesen markiert. durch das token ist sichergestellt, dass die anfrage von der richtigen seite kommt. Last edited: 2012-03-29 17:45:41 +0200 (CEST) Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem View full thread RFC: Neue Einstellung als Schutz gegen CSRF |