csrf的保护

Question

我试图使用表单密钥方法csrf protection这里http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/。但它仅适用于页面上的一个表格。我的问题是

假设我有一个形式

<form action="action.php" method="post"> 
<!-- code here --> 
</form> 

和我的PHP我使用

<?php 
if(isset($_POST['submit']) && isset($_SESSION['user'])) 
{ 
//do something 
} 

我已经使用session user确认他是否已登录并和形式由我的网站提交，因为会议已在我的网站上进行。我是否也必须使用csrf保护方法？

Answer 1

我是否也必须使用csrf保护方法呢？

是的，因为这正是为什么CSRF是危险的;当他们在另一个网站上提交修改后的表单时，“受害者”的cookie会在不知情的情况下发送给服务器，以便代表“黑客”执行特定操作，例如，由可爱的小猫照片伪装（例如）。

当提交变相形式时，您的站点无法区分请求和合法请求，因为身份验证是有效的。添加CSRF令牌可确保表单是从网站上的页面提交的。

创建会话时，您还会生成一个CSRF令牌。此令牌随后将用于会话期间您网站上的所有表单;这样做可以防止同时打开多个选项卡的问题。

即使表单从您的页面复制（包括CSRF令牌），该令牌也将存储在不属于经过验证的用户的会话中。