Задать вопрос
@kot-samolet

Как повысить безопасность и стоит ли?

Суто в том, что сайт генерирует и раздаёт людям html-код форм обратной связи, в коде у формы прописан action вида site.ru/get/48 где 48 - это его id на моём сайте.
Значит если у формы случайно или специально изменить id на 47 например, то данные будут приходить другому участнику системы. Можно сгенерить md5 хеш и будет action вида site.ru/get/a67sfgagf79af5gds67fgfds67g тут случайно его уже не перепутать 100% но какие-то данные послать на него можно.
CSRF метод не доступен, форма на чужом сайте.
Проверить что именно этот сайт в реферере? Ну технически его можно подменить хотя это уже надо целенаправленно заморочиться...
  • Вопрос задан
  • 266 просмотров
Подписаться 1 Оценить 3 комментария
Решения вопроса 2
@Everal
добавь уникальный ключ в поля и сравнивай его у себя на сервере с тем что ты получил для этого пользователя
Ответ написан
skobkin
@skobkin
Гентушник, разработчик на PHP и Symfony.
Если ваши клиенты могут себе позволить встраивать форму не только в виде HTML/JS, но и в бэкэнд, то вы можете пользоваться цифровой подписью. Каждый клиент получает некоторый ключ, на основе которого подписывает сообщения на сервере перед передачей вам. Вы же после этого сможете точно знать, что оно отправлено именно с сервера клиента, а не кем-то, кто подсмотрел код на фронтенде.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы