Archwium dla tagu ‘session riding’
Cross-site request forgery – CSRF
W notce Bezpieczenstwo mechanizmu sesji wspomniałem o niebezpieczeństwie związanym z CSRF. Kilka osób dało mi znać, że pojecie to nadaj nie jest dla nich jasne. W poniższej notce postaram się rozwiązać wszelkie wątpliwości.
Bezpieczeństwo mechanizmu sesji
Czym są sesje? Sesje są rozwiązaniem problemu bezstanowości protokołu HTTP, w którym żądania nie są ze sobą powiązane. Umożliwiają one identyfikacje żądań poszczególnych użytkowników za pomocą przekazania identyfikatora sesji. Jest on dołączany do każdej odpowiedzi serwera jako ciastko, ukryte pole w kodzie strony lub jako dodatkowy parametr adresu URL. Fizycznie są to pliki tekstowe zawierające […]