|
|
 | HTTP_REFERER
Fra : Leonard |
Dato : 20-03-06 09:55 |
|
Hvor sikker er HTTP_REFERER ?
Jeg tænker på at bruge den som beskyttelse mod mail-injection af
formularer. Så virker det godt nok ikke for dem, der har slået det fra
i browseren og det ved jeg ikke om er et reelt problem?
Men hvis den kan fakes, så er der jo heller ikke noget vundet ved det.
--
Leonard
http:/leonard.dk/hjemmeside/
| |
 Henrik Hansen (20-03-2006)
| Kommentar
Fra : Henrik Hansen |
Dato : 20-03-06 09:59 |
|
Leonard <usenet@leonard.dk> writes:
> Hvor sikker er HTTP_REFERER ?
> Jeg tænker på at bruge den som beskyttelse mod mail-injection af
> formularer. Så virker det godt nok ikke for dem, der har slået det fra
> i browseren og det ved jeg ikke om er et reelt problem?
> Men hvis den kan fakes, så er der jo heller ikke noget vundet ved det.
Det ville jeg ikke bruge, som den eneste tjek. Som du siger det kan
slåes fra og det er meget let at fake, hvis man finder ud af det er
det eneste der bruges som tjek.
Du kan i stedet lave en hash (md5 eks.) af et eller andet, måske deres
ip + en constant du kun kender værdien på. Derved kan du tjekke om den
rigtige hash er sendt med formularen og om der er sendt en med i det
hele taget. Det er hvert fald mere brugbart vil jeg mene end refereren.
--
Henrik Hansen
| |
Peter Brodersen (20-03-2006)
| Kommentar
Fra : Peter Brodersen |
Dato : 20-03-06 11:21 |
|
On Mon, 20 Mar 2006 09:54:56 +0100, Leonard <usenet@leonard.dk> wrote:
>Hvor sikker er HTTP_REFERER ?
Det er den ikke, og den fakes godt og grundigt af mange scripts, der
forsøger at udnytte forms.
--
- Peter Brodersen
Find dig selv: http://map.ter.dk/
| |
Erik Ginnerskov (21-03-2006)
| Kommentar
Fra : Erik Ginnerskov |
Dato : 21-03-06 00:03 |
| | |
|
|