Normalement, les scripts qui effectue des actions doivent prendre leurs paramètres dans $_POST et il doit y avoir un token unique qui garanti que l'origine est bien le site attendu (aka que c'est l'utilisateur qui a cliquer sur quelque chose sur le site).
Ici, il n'y a pas ce token donc n'importe quel site peut effectuer des actions sans interaction humaine.
[^] # Re: Facebook fail!
Posté par inico . En réponse au journal Facebook abus et failles. Évalué à 1.
Normalement, les scripts qui effectue des actions doivent prendre leurs paramètres dans $_POST et il doit y avoir un token unique qui garanti que l'origine est bien le site attendu (aka que c'est l'utilisateur qui a cliquer sur quelque chose sur le site).
Ici, il n'y a pas ce token donc n'importe quel site peut effectuer des actions sans interaction humaine.