[vz-dev] Zugang zum Frontend absichern

Jakob Hirsch jh at plonk.de
Thu Jan 12 09:51:04 CET 2012


Michael Pape, 2012-01-11 23:12:
> Ich weiss, deswegen beschreanke ich auf den bestimmten Pfad
> (middleware/data) und POST. Daten aus der Middleware heraus bekomm
> ich ja nur mit GET, und wer GET sagt is genauso raus wie der der
> nicht von data spricht ;)

Die HTTP-Methode ist kein sicheres Kriterium. Man kann mit dem
URL-Parameter "operation" die Aktion überschreiben.


More information about the volkszaehler-dev mailing list