@Testuje_Toster: ej a na serio, w jaki sposób mogę usunąć tam konto? Oczywiście, nie mogę wejść na swój profil, bo mnie wyrzuca ciągle na stronę główną, link w sumie też nie działa
jakby route był zdefiniowany jako inny niż GET (ochrona CSRF). A taki blad jak tutaj znacznie latwiej popełnić jak nie ma frameworka, bo definicje routów są pewnie w każdym miejscu
@aso824: To nawet nie kwestia CSRF. Przy poście nie dałoby się tak prosto kogoś tam zwabić, kliknięcie w link nie wywołuje metody POST. CSRF chroni co najwyżej by ktoś nie dał ci lipnego formularza.
@Testuje_Toster: działa jeżeli ktoś ma automatycznie logowane konto, jak musi kliknąć choćby "zaloguj" to nie zadziała z automatu - chyba że wcześniej było inaczej, a już to zmienili.
Nie klikać!!!! morele.net/profil/usun-konto/
Przecież to można wysłać komuś na fb i jak będzie zalogowany to usunie mu konto.
#morele #morelenet
Komentarz usunięty przez autora
Komentarz usunięty przez autora
@aso824: To nawet nie kwestia CSRF. Przy poście nie dałoby się tak prosto kogoś tam zwabić, kliknięcie w link nie wywołuje metody POST. CSRF chroni co najwyżej by ktoś nie dał ci lipnego formularza.