Цитата:


Глянул, походу всё-таки не проканает там подсунуть csrf-форму пользователю после авторизации... рандомный token в атрибуте action формы. =(



Ну и что? Этот токен можно запросто спарсить регулярными выражениями, а потом с помощью php подсунуть в csrf форму. Таким образом, вся эта борода прекрасно обходится. Самого заинтересовало это, решил попробовать на своем фейке одноклассников, тот токен, который используется при проверке на валидность просто подставляю в csrf форму, все прекрасно работает - после кражи верного пароля влетает прямо в аккаунт) Так что все работает, убедился собтсвенными глазами только что.