Обсуждение:Межсайтовая подделка запроса

Это нужно исправить, т.к. информация является ложной:

Для защиты от данного типа атак, веб-сайты должны требовать подтверждения большинства действий пользователя и проверять поле HTTP referer, если оно указано в запросе.

Правильно будет:

Для защиты от данного типа атак, веб-сайты должны требовать подтверждения большинства действий пользователя. При этом защита при помощи опроса HTTP referer нисколько не остановит злоумышленников, т.к. в запрос можно вставить любой HTTP referer.

это НЕверно!

можно защищаться и через HTTP_REFERER и/ИЛИ через "подтверждение дайствий". так как www-браузер (и/или Javascript запущенный внутри www-браузера) НЕ позваляет вставлять в HTTP_REFERER произвольную информацию . а если же мы рассматриваем ситуацию когда запросы посылаются НЕ через браузер -- то это уже НЕ XSRF-атака, а какойто другой тип атаки . Polymorphm 07:27, 1 апреля 2010 (UTC)[ответить]

Помоему всё правильно, злоумышленник в силе только сделать страничку на которую попадет жертва, а жертва то не будет подделывать HTTP referer, всё таки от действия жертвы случается атака ViruSkin 10:25, 1 мая 2009 (UTC)[ответить]

На мой взгляд, распространенный перевод термина «cross-site request forgery» как «подделка межсайтовых запросов» семантически неверен и сбивает с толку. Возникает ощущение, что подделке подвергаются какие-то легальные запросы между различными сайтами, на самом же деле подделываются внутренние запросы одного сайта с использованием другого, т. е. по сути это «межсайтовая подделка запросов». Может, имеет смысл изменить заголовок статьи или хотя бы привести в статье в скобках более корректный вариант для упрощения понимания сути? Yury Shulaev 12:14, 15 июня 2010 (UTC)[ответить]

согласен. и при жтом интернет-статья которая указана в подтверждающих ссылках -- использует тоже термин "Межсайтовая подделка запроса". и я думаю это более корректно так как технология атаки является именно межсайтовой. Polymorphm 12:39, 19 марта 2014 (UTC)[ответить]