Forum

Bonsoir à tous, PHPBOOST est une vraie tête d'éléphant! Je voudrais savoir comment désactiver le "je sors du frame" de PHPBOOST car un serveur redirige mon adresse par frame pour cacher la vraie qui est un peu moche.

Donc voilà. Merci d'avance!

Le "je sors d'une frame" sert à protéger des attaques de type CSRF.



Si tu tiens à supprimer ce comportement, il faut supprimer les lignes 27 à 31 du fichier /kernel/framework/js/global.js.



Je tiens à préciser qu'une redirection via une frame HTML c'est clairement une très mauvaise solution.

ecoloonline :

Donc si je comprends bien ce lien que je mets ici serait un CSRF







http://www.phpboost.com/admin/admin_members.php?delete=1&id=2











Donc ce lien ouvert dans une frame mis par un utilisateur aura pour conséquence de faire la commande à votre insu lorsque l'admin est connecté ?Je me trompe ?







Merci de m'éclairer s'il vous plaît je suis un peu confus, je ne comprends pas très bien.







Bonne soirée.

L'exemple donné ne fonctionnera pas puisqu'il y a la protection CSRF. Mais si il n'y avait pas de protection, il suffit que quelqu'un affiche une image dont l'URL est celle-ci et que l'admin se rende sur la page pour que le membre soit supprimé.







Le problème des frames est plus compliqué, il faut passer par du Javascript (c'est beaucoup plus difficile à exploiter mais envisageable). En fait si quelqu'un envoie un administrateur dans une page contenant une frame qui charge une page du site, via du javascript, il va réussir à accéder au code de la page et à récupérer quelque part la valeur du jeton de protection, du coup il pourra ensuite faire ce qu'il veut. L'idée est donc d'empêcher PHPBoost de s'afficher dans une frame pour ne pas qu'on puisse récupérer le jeton.







D'ailleurs les frames sont totalement dépassées et ne s'utilisent quasiment plus aujourd'hui (et heureusement).

J'ajoute que les frames empeche le bon référencement du site...