Смысл защиты в том, что зайдя на сайт Васи Пупкина мой браузер от моего имени с моими куками (в которых и сессия) отправит реквест. и сервер воспримет реквест как от меня.
А вот если есть токен, который НЕ хранится в куках, а выдается только в html например — этого токена атакующий сайт знать не может и запрос не пройдёт
Собственно сейчас у знакомых так решают проблему падения канала — купили второй, «запасной» канал, но в целях экономии включают его только при падении первого
КЛАДР — Дата актуальности — 24.12.2012
Намного легче работать с КЛАДР, информация там ни разу не устаревшая а структура данных с минимальными изменениями впиливается в тот же MySQL. В ФИАС выборки строить по данным намного сложнее, да и весит он в разы больше.
xDebug не хочется ставить на продакшн, а получаемые таким образом логи при ошибках пишутся на диск, соотв формат мы сами задаем, нужен именно метод простановки таких меточек в коде.
xDebug пользуемся на тестовых.
Можно дописать в самый конец правило — редирект на 404, если не предусматриваются урлы, не подпадающие не под одно из правил. Тогда такие запросы puu.sh/1FT4a не будут отдаваться апачу, а будут редиректиться на 404 сразу без записи в лог ошибок
Промахнулся и ответил в ещё 1 комментарии(
В access.log апача можно поискать соответствующие записи и понять, что за пользователи (или боты) ломятся по таким url
А вот если есть токен, который НЕ хранится в куках, а выдается только в html например — этого токена атакующий сайт знать не может и запрос не пройдёт