On Sun, 23 May 2010 18:58:43 +0100, Stefan <s...@c...wp.pl> wrote:

>
> Uzytkownicy chca tej funkcji. Z tego co sie orientuje to sa dwa wyjscia:
>
> - iframe zamiast div z trescia ladowana ajaxem,
> - przechowywanie tych formularzy w pierwszym DOMie wysylanym do
> przegladarki.
>
> Pierwszego nie chce - jest niezgodne z XHTML i ogolnie ble.

Ble (szczególnie cofanie UI do ery modalnych aplikacji jest ble), ale
mylisz XML ze Strict DOCTYPE. http://pornel.net/xhtml

> A druga metoda otwiera wektor ataku CSRF. W koncu formularz (wypelniony
> przez przegladarke) caly czas siedzi gdzies w DOMie i moze byc odczytany
> przez wstawiony javascript.

To, jak jest serwowany formularz nie ma wiele wspólnego z CSRF. Ważne
jest, jak jest odbierany.

Może chodzi ci o atak XSS? Jak masz luki XSS, to i tak masz przerąbane, bo
atakujący może ci też popodmieniać standardowe funkcje przeglądarki,
podstawić fałszywy formularz, dłubać we wszystkich ajaxach, ramkach z tej
samej domeny, itd.


Wstaw normalny formularz, a w nim jakiś niezgadywalny token i będzie ok.

--
http://pornel.net
this.author = new Geek("porneL");