@Dan 48601 wrote:
Det är väl bara att först anropa kassan och ta emot en session eller cookie och sedan anropa scriptet?
Hur stoppar det missbruket? Om en vanlig användare kan anropa scriptet så kan en bot alltid också göra det?
Oftast räcker det med att anropa scriptet direkt och skicka med lite vad som i en cookie, då de flesta skydd mot CSRF bara kollar om cookie-n är satt utan att närmare validera hashen. Något som ändå är effektivt för CSRF.
Helt rätt alltså att det inte kommer att stoppa något missbruk, men i bästa fall kräver det mer av någon som vill missbruka.
.
.
