6
A
回答
8
这听起来像你试图实现跨站请求伪造保护,其中您需要确保请求源自您的Web服务器提供的HTML。不要依赖引用头,因为它经常在防火墙中被剥离,并且可以被操纵。
有关如何实施此类保护的一些好消息,请参阅OWASP。基本上,它是这样的:
生成安全的随机值,并把它贴在用户的会话
对于每一个HTML表单,包括此值作为隐藏的价值()
每当POST请求会返回到您的服务器,请检查隐藏字段中的值是否与用户会话中的值相同。如果不是,请拒绝该请求。
因为ALUE是每个用户唯一的,攻击者不能简单地加强与预填充值的形式,并诱骗用户使用JavaScript自动张贴。该请求将被拒绝,因为攻击者不知道伪造形式中的隐藏域包含哪个值。
1
你想$_SERVER["REMOTE_ADDR"]。
1
我认为你需要阅读:
http://www.cyberciti.biz/faq/how-to-determine-retrieve-visitors-ip-address-use-php-code-programming/
+0
非常感谢。这真的有帮助! “ – Anant
3
相关问题
- 1. POST请求 - 跨来源请求阻止
- 2. Heroku的POST请求不起作用
- 3. 检查挂起的AJAX请求或HTTP GET/POST请求
- 4. 更改HTTP POST请求HTTPS POST请求:
- 5. 跨源起源请求方法
- 6. Python:发送POST请求不起作用
- 7. POST请求根本不起作用android
- 8. Python请求POST不起作用
- 9. curl POST请求不起作用
- 10. Http post请求不起作用
- 11. 执行okhttp POST请求此起彼伏
- 12. Scrapy POST请求不起作用 - 400错误请求
- 13. Angularjs的POST请求
- 14. 的Ajax post请求
- 15. wrk的POST请求?
- 16. 的Python POST请求
- 17. 与POST请求
- 18. POST请求
- 19. POST请求UWP
- 20. 从POST请求
- 21. HTTP POST请求
- 22. POST请求Laravel
- 23. WKWebView POST请求
- 24. Rails POST请求
- 25. node.js POST请求
- 26. Alamofire POST请求
- 27. Receving POST请求
- 28. Gu POST 6 POST请求
- 29. 角创建交叉起源http请求
- 30. 请使用POST请求
您是否在寻找推荐人?用户来自哪个页面? –
你真的是指“源自我的网站”,还是你的意思是“源自从我的网站发送到浏览器的页面上的表单”?他们是完全不同的东西。 –
不要依赖引用标头。它不能被信任,并且经常在防火墙中被剥夺,从而泄露有关内部系统的信息。 – Erlend