Hola muy buenas!:

Se que este tema estará tratado muchas veces, pero no doy con las palabras clave y por tanto no hallo nada con el buscador.

El problema de seguridad es el siguiente:

Tengo una página .php que se encarga de configurar algunos detalles de los usuarios del sitio. está página comprueba que el usuario este registrado y realiza los cambios solicitados.

Ahora bien, nada impide que se cargue la página desde un iframe por ejemplo llamando a ejemplo.com/configuracion.php?micolor=rojo y modificando el color del usuario.

Como defenderse de un ataque de ese estilo ?? Todas las entras GET POST Y COOKIES están protegidas, pero de este tipo de ataque no se como protegerme.

Ya que mientras el usuario tenga la cookie de sesión, si visita cualquier página maliciosa que carge esa dirección desde un iframe se modificará la configuración.

En un primer momento había pensado en evitar que mi sitio pueda ser cargado dentro de un iframe, ( según he visto se hace mediante javascript ) pero y si el usuario tiene 'apagado' javascript ??

Leí hace algún tiempo que con php se crea una especie de valor aleatorio cada vez que se quiera realizar una modificación de este estilo para evitar esto... pero ni recuerdo donde lo leí ni como se llamaba.

( El problema no es sólo por un iframe, un enlace directo también engañaría al usuario ). Por supuesto podría poner que micolor se reciba por método POST ¿ pero eso es realmente una protección ?


Muchas gracias!!