Otázky

•

1) přesměrovat (http kód 300) na jinou stránku. Ale to není moc dobré řešení...

•

2) Při zobrazení stránky s formulářem vygenerovat náhodný řetězec (token), ten uložit 
do sessions a zároveň dát do formuláře jako hidden prvek. Při odeslání se porovnávají 
tyto dva tokeny. Pokud někdo autualizuje stránku (F5), v sessions se vytvoří nový 
token, ale v POST datech bude ten původní token => tokeny se budou lišit => 
zobrazíme chybovou hlášku.

64)Jak lze předat hodnoty z jedné stránky na druhou? Například při vyplňování 
komplexního formuláře. Jmenujte alespoň 3 způsoby

•

1) Přes POST - formulář - skrytá pole (input type="hidden")

•

2) Přes GET - url – obohacování odkazů

•

3) cookies - data uložíme u klienta

•

4) sessions - data uložíme na server a klientovi pošleme ID sessions

65)Jaký formát používa ajax pro přenost dat mezi klientem a serverem 

•

Hlavně chtěli slyšet, že formát není určen.

•

Např.:Obyčejný text

•

html

•

JSON - serializovaný javascript

•

data ve formátu XML

•

Obecně by se dalo říct, že data se můžou přenášet v jakémkoliv formátu (třeba data 
oddělené středníkem, vlastní xml),

•

ale má to jednu podmínku: server i klient (javascript) musí umět tyto data zpracovat!

66)Cross-site Request Forgery (CSRF)

•

Př. útočník zná URL adresy pro spuštění akcí určených na změnu (editaci obsahu, 
smazání, …) jejích objektů (příspěvků na blogu či fóru, článků v redakčním systému 
či wiki, apod.).

•

Prevence: solit heslo, používat token, POST

•

Ale posílat data v POST (formulář) opravdu nestačí, protože útočník může použít 
javascript na poslání POST dat.

•

Takže jediné možné funkční řešení jsou bezpečností tokeny (stejné jako u formuláře, 
kde chceme zabránit opakovanému odeslání).

•

Jinýmy slovy - musíme se přesvědčit, že uživatel opravdu viděl formulář a odeslal ho 

67)Cookie je ulozena

•

u klienta

•

3rd party cookies jsou uloženy v DB na serveru, v klienta je uloženo jen ID odkazující
na řádek v DB