Почему logout post?

Общие вопросы по использованию второй версии фреймворка. Если не знаете как что-то сделать и это про Yii 2, вам сюда.
Ответить
Brainfuck
Сообщения: 273
Зарегистрирован: 2018.02.19, 14:20

Почему logout post?

Сообщение Brainfuck »

Мне стало интересно почему в стандартном шаблоне yii2 метод logout всегда прописан как POST? Это дает какую-то защиту что-ли дополнительную? Почему он не может быть обычной GET ссылкой? Не, ну понятно что там еще confirm с подтверждением выхода - это удобно и полезно, но для этого не обязательно делать метод POST. В чем тут прикол?

yiiliveext
Сообщения: 910
Зарегистрирован: 2019.08.13, 01:49

Re: Почему logout post?

Сообщение yiiliveext »

csrf

Brainfuck
Сообщения: 273
Зарегистрирован: 2018.02.19, 14:20

Re: Почему logout post?

Сообщение Brainfuck »

yiiliveext писал(а):
2020.03.22, 11:09
csrf
А более подробно? Я знаю что csrf нужен для защиты запросов от подделки, но что такого конкретно в логауте? Он же не опасен. Это просто разлогин, а не кража каких-то данных...

yiiliveext
Сообщения: 910
Зарегистрирован: 2019.08.13, 01:49

Re: Почему logout post?

Сообщение yiiliveext »

Относительно безопасен. В любом случае, перейдя по ссылке на стороннем ресурсе разлогинится в приложении - это несанкционированное действие. Представьте например ситуацию, когда в системе разрешен только один сеанс для каждого пользователя, а хакер добыл ваши логин и пароль, но не может зайти в систему, потому что вы там залогинены. Что он сделает? Правильно, заставит вас перейти по замаскированной ссылке и если у вас там GET, то вот он уже в системе, а вы туда зайти не можете. Теперь уже не кажется таким безопасным?

Brainfuck
Сообщения: 273
Зарегистрирован: 2018.02.19, 14:20

Re: Почему logout post?

Сообщение Brainfuck »

yiiliveext писал(а):
2020.03.22, 11:30
Относительно безопасен. В любом случае, перейдя по ссылке на стороннем ресурсе разлогинится в приложении - это несанкционированное действие. Представьте например ситуацию, когда в системе разрешен только один сеанс для каждого пользователя, а хакер добыл ваши логин и пароль, но не может зайти в систему, потому что вы там залогинены. Что он сделает? Правильно, заставит вас перейти по замаскированной ссылке и если у вас там GET, то вот он уже в системе, а вы туда зайти не можете. Теперь уже не кажется таким безопасным?
Пожалуй это имеет смысл! Спасибо за объяснение

Аватара пользователя
ElisDN
Сообщения: 5529
Зарегистрирован: 2012.10.07, 10:24
Контактная информация:

Re: Почему logout post?

Сообщение ElisDN »

<img src="/site/logout" />

Ответить