From 305299daefcfd8f4e498b64d24dad07cedee0527 Mon Sep 17 00:00:00 2001 From: Dmitry Naumenko Date: Tue, 12 May 2015 12:36:06 +0300 Subject: [PATCH] Russian guide update: security best practices Updates according to eng version changes in #8369 --- docs/guide-ru/security-best-practices.md | 3 +-- 1 file changed, 1 insertion(+), 2 deletions(-) diff --git a/docs/guide-ru/security-best-practices.md b/docs/guide-ru/security-best-practices.md index ceab4a8..eced2fd 100644 --- a/docs/guide-ru/security-best-practices.md +++ b/docs/guide-ru/security-best-practices.md @@ -146,8 +146,7 @@ CSRF - это аббревиатура для межсайтинговой по между запросом изображения и запросом страницы, так что когда пользователь откроет страницу с таким тегом `img`, он разлогинится с сайта `an.example.com`. -Вот основная идея. Можно сказать, что в разлогировании пользователя нет ничего серьёзного, но отправить POST не намного -сложнее. +Вот основная идея. Можно сказать, что в разлогировании пользователя нет ничего серьёзного, но с помощью этой уязвимости, можно выполнять опасные операции. Представьте, что существует страница http://an.example.com/purse/transfer?to=anotherUser&amout=2000, обращение к которой с помощью GET запроса, приводит к перечислению 2000 единиц валюты со счета авторизированного пользователя на счет пользователя с логином anotherUser. Учитывая, что браузер для загрузки контента отправляет GET запросы, можно подумать, что разрешение на выполнение такой операции только POST запросом на 100% обезопасит от проблем. К сожалению. это не совсем правда. Учитывайте, что вместо тега , злоумышленник может внедрить JavaScript код, который будет отправлять нужные POST запросы на этот URL. Для того, чтоб избежать CSRF вы должны всегда: