Kann ich verhindern, dass mir jemand $_POST Variablen (z.B. in Form von hidden)
von der Domain xyz an meine Domain abc schickt?
Falls ja: wie?
Lenni
$_POST über Domaingrenzen - wie verhindern?
-
Blutgerinsel
- Mitglied
- Beiträge: 1801
- Registriert: 19.07.2004 18:53
- Wohnort: Landkreis Ulm
- Kontaktdaten:
<form method="post" action="http://www.xyz.de/irgendwas.php">Blutgerinsel hat geschrieben:wie sollte man den als Client eine Postvariable schicken ohne den HTTP Header zu ändern ?
<input type="hidden" name="irgendwas" id="irgendwas" value="irgendwas">
<input type="submit" />
</form>
Den header brauche ich nicht zu ändern. Als action kann ich ein
beliebiges Ziel angeben -> funktioniert
Ich muss natürlich noch wissen, welche Variablen erwartet werden...
du kannst ggf auf den http referrer checken .. aber das kann man auch fälschen ..
also nein .. soweit mir bekannt .. gibt es da keine moeglichkeit .. (außer natürlich anständig programmieren .. und jede variable schön auf mögliche fehleingabe testen)
also nein .. soweit mir bekannt .. gibt es da keine moeglichkeit .. (außer natürlich anständig programmieren .. und jede variable schön auf mögliche fehleingabe testen)
ich will mein auto polieren ! ..
ja .. ich weiß .. man kann das mit nem lappen machen .. aber ICH will unbedingt nen hammer nehmen .. WIE geht das
ja .. ich weiß .. man kann das mit nem lappen machen .. aber ICH will unbedingt nen hammer nehmen .. WIE geht das
-
Blutgerinsel
- Mitglied
- Beiträge: 1801
- Registriert: 19.07.2004 18:53
- Wohnort: Landkreis Ulm
- Kontaktdaten:
Damit schickst du ein Formular an die Stelle und nicht der Clientlenni hat geschrieben:<form method="post" action="http://www.xyz.de/irgendwas.php">Blutgerinsel hat geschrieben:wie sollte man den als Client eine Postvariable schicken ohne den HTTP Header zu ändern ?
<input type="hidden" name="irgendwas" id="irgendwas" value="irgendwas">
<input type="submit" />
</form>
Den header brauche ich nicht zu ändern. Als action kann ich ein
beliebiges Ziel angeben -> funktioniert
Ich muss natürlich noch wissen, welche Variablen erwartet werden...
Und selbst dann wenn jemand sich ein eigenes Formular zusammenbastelt und über eine socket Verbindung an deinen Server schickt passiert da nur was wenn der Programmierer Daten willkürlich und ungeprüft übernimmt.....
Abgesehen davon ist der HTTP-Referer kein Pflichtfeld....
Wer glaubt ich lasse mein Surfverhalten durch Marketing etc. kontrollieren der irrt... Ich fake den Referer oder blocke in bei Warenkörbe generell....
Und wo ist nun dein Problem bzw. dein Schutz.....
Jedes HTTP Paket das durch meinen Rechner geht kann ich abfangen, abändern und auslesen.....Und daran wirst du nichts ändern.
Selbst ein Passwort was in ein Inputfeld eingetragen wurde ist im klartext lesbar.....
Wie bereits gesagt: für meine Zwecke ist die Prüfung des Referers ausreichend.Blutgerinsel hat geschrieben:
Und wo ist nun dein Problem bzw. dein Schutz.....
Jedes HTTP Paket das durch meinen Rechner geht kann ich abfangen, abändern und auslesen.....Und daran wirst du nichts ändern.
Selbst ein Passwort was in ein Inputfeld eingetragen wurde ist im klartext lesbar.....
Wenn kein Referer vorhanden ist, blocke ich sofort ab.
