Matti Mäkitalo: $_POST Variable auf Validität überprüfen

Beitrag lesen

Hallo,

Die Herkunft kannst du nicht überprüfen.

hier sei das Stichwort Cross-Site-Request-Forgery/CSRF erwähnt

Ich glaube wegen des Sachbezugs „$_POST Variable auf Validität überprüfen“, dass Martin mit „Herkunft“ meinte, ob die Daten tatsächlich aus einem Formular und damit von einem Browser kommen - oder ob diese etwa mit anderer Software (wget, curl, …) generiert und verschickt wurden.

Tatsächlich kann man das (mit diversen Krücken, welche sich manchmal als Zugangsverhinderer herausstellen) nur erschweren, nicht wirklich verhindern. Denn schließlich wurden diese Werkzeuge ja geschaffen, um das Verhalten der Browser zu simulieren.

Ich hatte das auch genau so verstanden - aber CSRF-Tokens sind ja genau ein einfaches Stilmittel, um die primitivsten "Angriffsversuche"[1] durch curl/wget zu unterbinden. Das man damit bessere Bots (WebDriver) nicht findet ist klar.

Viele Grüße Matti

[1] Also Absendung eines Requests ohne Browser/Formular