Есть древний проект. Кто-то использует CSRF для отправки почты на ящики компаний партнеров.
Могли бы посоветовать как с меньшими затратами сделать защиту от отправки сообщений через форму? Капча стоит.
Подозреваю, что какой то скрипт фигачит постом на нужный адрес нужные поля. Решил что можно запретить POST со всех хостов/IP кроме своего. Можно ли так сделать?
это не может быть решением. проект общедоступный региональный. доступ всем нужен по get и post
но нужна проверка какая-то, если POST с другого сервера, с другого реферера, то блокировать
Максим Гречушников: Просто смените для начала адрес страницы на который post посылается и всё. Далее на странице post можно сделать ещё поле для ввода кода, который знаете только вы, т.е. в ваших скриптах он будет. Другое дело что если кто-то к ФТП доступ заимел, сначала надо все пароли сменить
Дмитрий: это все я уже сделал. потому уже и обратился.
сделал дополнительно ловушку в виде скрытого поля с именем mail и если оно заполнено, то пропускаем
Сложный
Средний
