Antwort an „Matti Mäkitalo“ verfassen

Hallo,

Die Herkunft kannst du nicht überprüfen.

hier sei das Stichwort Cross-Site-Request-Forgery/CSRF erwähnt

Ich glaube wegen des Sachbezugs „$_POST Variable auf Validität überprüfen“, dass Martin mit „Herkunft“ meinte, ob die Daten tatsächlich aus einem Formular und damit von einem Browser kommen - oder ob diese etwa mit anderer Software (wget, curl, …) generiert und verschickt wurden.

Tatsächlich kann man das (mit diversen Krücken, welche sich manchmal als Zugangsverhinderer herausstellen) nur erschweren, nicht wirklich verhindern. Denn schließlich wurden diese Werkzeuge ja geschaffen, um das Verhalten der Browser zu simulieren.

Ich hatte das auch genau so verstanden - aber CSRF-Tokens sind ja genau ein einfaches Stilmittel, um die primitivsten "Angriffsversuche"[1] durch curl/wget zu unterbinden. Das man damit bessere Bots (WebDriver) nicht findet ist klar.

Viele Grüße Matti

[1] Also Absendung eines Requests ohne Browser/Formular

freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar

Ihre Identität in einem Cookie zu speichern erlaubt es Ihnen, Ihre Beiträge zu editieren. Außerdem müssen Sie dann bei neuen Beiträgen nicht mehr die Felder Name, E-Mail und Homepage ausfüllen.

abbrechen