strider1
29.11.2011, 09:15
Прочитал что такое CSRF и XSS. Применяю на практике возник вопрос:
есть форум http://one.ru. На него я вставляю картинку .
есть сайт с CSRF http://two.ru/action.php?sendpass. На него эта самая картинка ведет. Однако http://two.ru проверяет реферер, и пускает только со своим либо ПУСТЫМ.
Вопрос. как убить реферера при загрузке картинки\подменить его.
пробовал:
1. locate+php. реферер остается
2. html:meta http-equiv=refresh. (по логам обращение есть, но релиректа нету.)
3. джава скрипт. понятно не работает, ибо это был бы XSS
Вопроса собственно два.
1. Почему не работает 2 метод и при каких условиях он будет работать
2. Насколько реально вообще это сделать
есть форум http://one.ru. На него я вставляю картинку .
есть сайт с CSRF http://two.ru/action.php?sendpass. На него эта самая картинка ведет. Однако http://two.ru проверяет реферер, и пускает только со своим либо ПУСТЫМ.
Вопрос. как убить реферера при загрузке картинки\подменить его.
пробовал:
1. locate+php. реферер остается
2. html:meta http-equiv=refresh. (по логам обращение есть, но релиректа нету.)
3. джава скрипт. понятно не работает, ибо это был бы XSS
Вопроса собственно два.
1. Почему не работает 2 метод и при каких условиях он будет работать
2. Насколько реально вообще это сделать