На какво принцип работи CSRF знак защита и как тя се различава от API знак

  • На какво принцип работи CSRF знак защита и как тя се различава от API знак

Здравейте, моля да ми каже, каква е целта на защита срещу РКФО знак (както аз го разбирам - това позволява дори изоставят CAPTCHA), ако в действителност уникален код, който съществува само в сървъра за това sessid?

Клиентът пита сървъра страница
Сървърът започва сесия, потребителят изпраща sessid, създава означение запазва знак
Клиентът пита сървъра към друга страница
Сървър sessid той изважда на символична си сесия и избутва в заглавната част. така и същ потребителски логика да се отвори глава получаваме, и след това се смесва с този знак? (На това място, тъй като оставя дупка уикипедия, объркващи понятията "изпрати с глава" и "получи титлата") - ако ние отдръпнали резултатите излагайте заглавие, този клиент ще получи знак, че сървърът вече е получил знак му sessid и не попада три пъти.

И въз основа на идеята за защита на неговия клиент не трябва да получават знак, че трябва да работи без него, защото:
а) да направи баба Нина, за да въведете 64-цифрен буквено-цифров знак - той се продава веднага на нула
б) предаване на поверителна информация на потребителя, без средствата за кодиране, че всеки, гледане на видео в YouTube и взе лаптоп с Linux приеме пакет на означението и става потребителите на сто и втората година
в) съхраняване на означение в бисквитка? Защо? и така има sessid уникалност на която се поддържа на ниво сървър, и тя може да бъде заместител не може да се включи

Бих се разбере знак защита срещу искането от името на калкулатора, но как да се образува равен знак, ако клиентът участва в този процес само в сесия, и сървъра след себе си има нещо мечти?

Тук, в защита на API, което ще се превърне в квадратчето различен с железни неща, има една молба към вас, като име и парола дава знак, че вие ​​съзнателно да копирате и поставите в кода в заглавката, която ви изпраща на сървъра, ако SSL / TLS не е дешифриране обозримо срокове, а защото това е доказателство, че компютърът ви е вашия компютър.

Но създаването на жетона за потребителя при подаване на формуляра? Как е тази защита, аз не разбирам от РКФО

А програмиране котка.

На първо място, най-вероятно все още CS RF Token.
На второ място, CSRF знак никъде ръце вход не е необходимо, обикновено той е закачен за допълнително. скрито поле при подаване на формуляра. Идеята е да се даде на нападателя не може да се позовава или да направите на своя уебсайт форма на преход, който ще направи влезлият на целенасочена потребител ресурс, за да се направят някои косвени действия (промяна на парола, имейл, напишете съобщение, прехвърляне на средства, и така нататък) ,

И след това се прави проверка - ако има символични базирани жетони преминали в знак областта на искането е да се пропусне, в противен случай - "невалиден знак"?

Защото, ако спори с факта, че текстът е невъзможно да се изрази конкретни идеи за определен човек и е съвсем нормално явление, че едната страна не разбира какво другият е писал, но все пак е нещо, за да говоря с вас, за да усети това.

Ти дойде да демонстрира способността си да използват търсачката. Ти не си от помощ, нищо, освен хвърлен блъф, въпреки че в момента, в този случай, че са помогнали, репутация е, без съмнение, добавя той.