我正在開發Zend的網站。 有些人創建一個html文件模仿我的登錄視圖。表單中的動作指向我的控制器提交。 我沒有其他人登錄我的網站。那麼,如何防止其他域名提交給我的控制器? 我試圖獲取「請求者頁面」的請求主機名來比較他們的域與我的,然後返回錯誤,如果用戶從其他網站登錄。獲取PHP主機請求
1
A
回答
1
你可以檢查refferer如果是在你的域(或空)
添加一個隱藏的輸入字段中的每一個產生顯示器上的標記。如果令牌不正確,請不要繼續並將其重定向到您的登錄頁面。 確保每個令牌只能由一個用戶(相同的會話/ IP)使用一次,並且只能用於例如1小時
編輯:看https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet
2
檢查ZF手冊CSRF保護,這是解決這個問題的標準,內置方式。
1
會有防止了端用戶登錄到您的網站
- 用戶zend的驗證碼生成每一次新的代碼登錄會話
你可以通過下面的鏈接作爲參考最簡單的方法用於登錄頁面
http://mnshankar.wordpress.com/2010/06/01/zend-form-element-captcha/
相關問題
- 1. AppEngine獲取傳入請求的主機
- 2. JsonObject從本地主機獲取請求
- 3. 從NodeJS請求獲取主機
- 4. 使用PHP創建REST API:獲取請求主機的域名
- 5. java和php獲取請求
- 6. PHP獲取請求阻止
- 7. Ruby獲取請求到PHP獲取請求
- 8. PHP:如何獲得ajax請求的主機?
- 9. 通過代理傳遞請求時,通過PHP獲取主機和URI
- 10. 只接受來自本地主機的獲取/發佈請求
- 11. 在node.js中獲取當前請求的主機名Express
- 12. 從安全源獲取請求主機名?
- 13. tcpDump在共享主機上獲取請求標頭
- 14. 在BaseHTTPRequestHandler中從HTTP請求獲取主機字段
- 15. ios8機會主義背景獲取請求
- 16. 獲取請求主機Apache htaccess的變量?
- 17. Arduino獲取請求和主機服務器?
- 18. Node.JS和Express:無需請求獲取應用程序主機
- 19. 獲取請求服務器的主機名稱
- 20. 錯誤:getaddrinfo ENOTFOUND在獲取本地主機的請求時,Nodejs
- 21. 驗證請求主機
- 22. 塊請求到主機
- 23. Playframework 2.0 onError的獲取請求主體
- 24. 獲取請求
- 25. 獲取Android手機的請求
- 26. IIS隨機不良請求 - 主機名
- 27. 捕獲PHP請求
- 28. PHP ::獲取POST請求內容
- 29. PHP刪除從URL獲取請求
- 30. Php,從ajax請求獲取引用者