0
我们正在努力确保我们的网站安全 - 有人可能在提交表单时绕过我们网站对cookie的要求吗? 我们正在尝试防止跨站点攻击。 谢谢绕过提交表单的cookie请求
A
回答
1
我想你的意思是跨站请求伪造(CSRF)。这可以通过表单中的特殊CSRF令牌轻松阻止。
每次显示表单时,标记都应该不同。
<?php
$token = md5(time()); /* a simple attempt to generate a token */
$_SESSION['csrf_token'] = $token;
?>
将它包含在您的表单中。
<form>
<input type="hidden" name="csrf_token" value="<?php echo $token ?>">
...
</form>
然后在表单提交的服务器上验证它。
<?php
$storedToken = $_SESSION['csrf_token'];
unset($_SESSION['csrf_token']);
if ($_POST['csrf_token'] == $storedToken) { ... }
?>
确保令牌只能使用一次。
还使用SSL以提高安全性,如果尚未到位。
相关问题
- 1. 通过AJAX请求提交表单
- 2. Ajax请求的表单未提交
- 3. Python:使用请求提交表单
- 4. 如何“转发”请求并获取提交的Cookie /表单数据?
- 5. Http请求 - 绕过DNS [.Net]
- 6. 如何绕过ASPX提交表单验证页面
- 7. 通过C#向Salesforce提交POST请求
- 8. 如何区分从HTML表单提交的HTTP请求和从客户端提交的HTTP请求?
- 9. 允许一个表单提交Cookie
- 10. 在PHP表单提交中设置Cookie?
- 11. PHP Cookie没有设置表单提交
- 12. 更新提交/拉请求Github清单
- 13. 请求绕过春季安全过滤
- 14. Ajax请求中的表单被提交的结果
- 15. Jmeter提交post请求数据表格
- 16. 完成Ajax请求后提交表格
- 17. 如何避免表单提交与骨干的GET请求
- 18. 有关Mootools Ajax请求和提交表单的问题
- 19. 错误:错误的请求,同时提交一个表单
- 20. Jquery - 确定是否表单提交的AJAX请求
- 21. 如何从HTML表单提交JSON编码的发布请求?
- 22. PHP帮助 - 从提交的表单请求信息
- 23. 请求表单提交的facebook更改标签
- 24. 如何根据请求范围的bean中的值呈现表单时提交的表单提交
- 25. 通过javascript提交表单
- 26. 表单提交已过期
- 27. 通过XMLHttpRequest提交表单
- 28. 通过Servlet提交表单
- 29. 通过表单提交非表单元素<span>提交
- 30. 提交POST请求到Piwik.php
谢谢 - 什么是阻止某人创建一个自动获取令牌并响应的bot? – user1946914 2013-04-26 15:24:43
这是captcha的是和不同的问题。您的担心是“跨站点攻击”。如果一个bot提交表单,它不是跨站点。 **每个有权访问表单的人都可以提交**。 – Bart 2013-04-26 16:50:18