Вопросы и пожелания к движку

Для юзеров Seditio и новичков

Macik	#36588 2012-12-19 10:46
Team Thanked: 181 times	#36580 Trustmaster: Классом/параметром форм нельзя, это будет security flaw, поскольку таким макаром злоумышленник сможет отключать защиту любой формы. Скорее надо разрешить это на уровне routing'а, чтобы для некоторых ссылок можно было явно отключить защиту. Нет не сможет. Возможно я не правильно изложил суть. Имеется в виду не отключение проверки этого параметра движком, а выключение механизма добавления этого параметра в формы. (Т.е. даже если злоумышленник задаст этот признак, все что он получит это неработающую форму, т.к. в ней нет параметра «Х».) Реализовать это можно как на стороне сервера (если в параметрах формы есть соотв. признак - класс или адрес), то просто не добавлять параметр в форму, так и на стороне клиента (тем же jquery проверяя адрес или класс) просто удаляя параметр (читай поле input) из формы. https://github.com/macik правильный хостинг — https://goo.gl/fjCa1F

Macik

#36588 2012-12-19 10:46

#36580 Trustmaster:

Классом/параметром форм нельзя, это будет security flaw, поскольку таким макаром злоумышленник сможет отключать защиту любой формы.

Скорее надо разрешить это на уровне routing'а, чтобы для некоторых ссылок можно было явно отключить защиту.

Нет не сможет. Возможно я не правильно изложил суть. Имеется в виду не отключение проверки этого параметра движком, а выключение механизма добавления этого параметра в формы. (Т.е. даже если злоумышленник задаст этот признак, все что он получит это неработающую форму, т.к. в ней нет параметра «Х».)

Реализовать это можно как на стороне сервера (если в параметрах формы есть соотв. признак - класс или адрес), то просто не добавлять параметр в форму, так и на стороне клиента (тем же jquery проверяя адрес или класс) просто удаляя параметр (читай поле input) из формы.

https://github.com/macik
правильный хостинг — https://goo.gl/fjCa1F