Есть сайт
X, на нём есть такая возможность как, любому пользователю заблокировать другого пользователя (тогда отключается обмен сообщениями между ними).
Включается и отключается такая блокировка через ссылку, срабатывает script, отправкой запроса серверу с нужным кодом, код формируется на сервере, а посмотреть его можно в html коде.
Нужно чтобы пользователь
Y меня разблокировал не зная про это. Допустим я подсуну этому пользователю ссылку на свой сайт, по которой он точно перейдёт. Осталось подгрузить страницу с сайта
X и через script перейти по этой ссылке.
В плане реализации, как лучше сделать, чтобы получилось всё чисто, попытка только одна. (Знаю какие у вас мысли по этому поводу
, но в итоге я на своём сайте буду делать защиту исходя из полученного опыта
)
_____________
Принимаю заказы, писать в ЛС
Игорь_Vasinsky
22.06.2016 - 06:58
генерировать токен при авторизации пользователся на сайте X используя, например хеш session_id() и хранить его (перезаписывая при каждой авторизации с привязкой по user_id)
в ссылке использовать этот токен и сверять. тем самым подтверждая, что операция проходит именно под авторизованным пользователем, а не где-то на левом ресурсе.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Цитата (Игорь_Vasinsky @ 22.06.2016 - 06:58) |
генерировать токен при авторизации пользователся на сайте X используя, например хеш session_id() и хранить его (перезаписывая при каждой авторизации с привязкой по user_id)
в ссылке использовать этот токен и сверять. тем самым подтверждая, что операция проходит именно под авторизованным пользователем, а не где-то на левом ресурсе. |
Это напоминает
CSRFВ моём случае такая защита уже существует, может я мысль не правильно описал, ну не получается у меня это
Например: Пользователь авторизован на сайте
X, он переходит на сайт
Y (ссылку на этот сайт отправлю я). Тут начинается самое интересное, т.к. мы не знаем сгенерированного кода -
На сайте
Y подгружаем сайт
X, script находит нужный блок, достаёт полный адрес ссылки (с защитным кодом) и отправляет пользователя по этому адресу.
_____________
Принимаю заказы, писать в ЛС
Такой вот код - мой сайт подгружается, а подопытный выдаёт белую страницу.
<frameset>
<frame src="http://xxx">
</frameset>
_____________
Принимаю заказы, писать в ЛС
arbuzmaster
22.06.2016 - 16:33
На сколько я понимаю, то достать что либо из фрейма будет проблематично, так как по сути фрейм - другой сайт . Т.е. например если на своём сайте при помощи Javascript можно спокойно получить значение href из ссылки, то с фреймом такой номер не пройдет.
_____________
Мой первый сайтикПосмотри на свой XBMC под другим углом
Это чисто для примера, видел готовые варианты на Flash
_____________
Принимаю заказы, писать в ЛС