MM
это уже как минимум два запроса
Size: a a a
2020 April 20
R#
Какая конечная цель? Если кто то серьезно сайтом займётся, то он твою тему раскопант
MM
вот прямой запрос
"message": "CSRF token mismatch.",
"message": "CSRF token mismatch.",
MM
Какая конечная цель? Если кто то серьезно сайтом займётся, то он твою тему раскопант
ты пропустил сверху обсуждение
EG
сsrf можно и через cockies гонять
MM
сsrf можно и через cockies гонять
можно, получил и используешь куку
MM
но что это меняет
MM
продублирую код
MM
$prev = parse_url(URL::previous());
$me = parse_url(env('APP_URL'));
MM
if($me['host'] != $prev['host']){
return $this->response(403, ['message' => __('ajax.forbidden')]);EG
можно, получил и используешь куку
кука пересоздается каждый раз, а если к тебе придет такой продвинутый парсер, то ты ничего с ним не сделаешь, только если симантически отслеживать поведение пользователей и блокировать подозрительных
EG
$prev = parse_url(URL::previous());
$me = parse_url(env('APP_URL'));
это вообще обходится отправкой заголовка referer
EG
тебе достаточно включить csrf и как миниму от "детских" парсеров защищён, а если к тебе придет "бородатый" парсер, то я тебе сочуствую, т.к. определить что это парсер тяжело, только если отслеживать как он дошел до формы.
P
у монстров веба защита от парсеров что-то на подобии трастовых кук работает, типа накопительных, вплоть до анализа действий пользователя на сайте
P
тот же яндекс.маркет сходу палит хром на электроне
EG
у монстров веба защита от парсеров что-то на подобии трастовых кук работает, типа накопительных, вплоть до анализа действий пользователя на сайте
подробнее, откуда инфа, давай источник
P
не говоря уже о курлах
P
инфа от разраба занимающейся этой темой на зенопостере
EG
он через JS может отлеживать, т.е. он видит поведение робот это или человек
J
Переслано от Java Script Бог язык...
Смотрю видеокурс, но видимо он старый