Ответы пользователя по тегу Информационная безопасность
  • Cross domain referer leakage, какие варианты есть для предотвращения?

    zxscv
    @zxscv
    К примеру у вас на сайте есть авто авторизация при переходе из письма. Типа
    http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234


    При переходе пользователь перейдет на страницу и если его там оставить то он может кликнуть на внешнюю ссылку на сайте и перейти на другой сайт, а в реферере этого запроса будет
    http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234


    Чтобы исключить уязвимость надо средиректить с
    http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234
    после авторизации

    Ну еще https избавляет от этой проблемы
    Ответ написан
    Комментировать