Форум русской поддержки Joomla!® CMS
03.12.2016, 10:52:37 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Параноидальная защита формы

 (Прочитано 193 раз)
0 Пользователей и 1 Гость смотрят эту тему.
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« : 26.02.2016, 18:09:13 »

Придумал тут такой способ защиты формы:

Показать текстовый блок

На страницу с формой добавляем js скрипт:

Код
$('#myForm').submit(function (event) {
$(this).append('<input type="hidden" name="<?php echo myHelper::createToken()?>" value="1" />');
});
 

В сущности логика практически та же что и в стандартном токене Joomla для формы, за исключением некоторых особенностей:

1) Я добавляю токен, с помощью js на сабмите формы. При обычном способе, чисто теоретически, я могу написать скрипт который распарсит страницу с формой, вытащит оттуда токен и начнет отсылать пост запросы с этим токеном.

2) Я сверяю время создания токена и отправки формы. Если оно меньше нескольких секунд то это 100% бот.

Ну и чуть улучшен алгоритм генерации хэша. Что скажете?
 
Записан
robert
Профи
********

Репутация: +342/-11
Offline Offline

Пол: Мужской
Сообщений: 3567


« Ответ #1 : 26.02.2016, 18:22:51 »

Идея неплохая, но JS-код ведь тоже нельзя спрятать? Потом, сверка времени мне кажется сомнительной: токен ведь создается при отправке формы?
Показать текстовый блок
Результат:
1456496843
1456496842
Ну и кстатии логично что одна секунда прошла, вы открыли страницу, ничего не заполнили и сделали сабмит.
Да, верно.
« Последнее редактирование: 26.02.2016, 20:11:44 от robert » Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #2 : 26.02.2016, 18:27:21 »

Токен создается при открытии страницы с формой(он в js передаются сразу) а проверку уже можно делать на сабмите. JS код можно наверное как нибудь закодировать, в base64 например. Но это совсем уж мне кажется перебор. Боты они как правило не анализируют js. Да и всякие антивирусные сканеры примут такой код за вирус.

Цитировать
Результат:
1456496843
1456496842

Хмм ну тогда можно просто передать в какую нибудь js переменную токен. При сабмите добавить его к форме. Ну и кстатии логично что одна секунда прошла, вы открыли страницу, ничего не заполнили и сделали сабмит. В этом то и идея сверки времени что человеку потребуется время чтобы заполнить форму. К тому времени пройдет больше двух секунд для более менее вменяемой формы.
« Последнее редактирование: 26.02.2016, 19:22:04 от zomby6888 » Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet