-2
我想知道是否有辦法確保通過POST發送的表單來自我的網站。我查看了一些教程,他們建議我使用「隱藏」輸入值進行驗證,但是這可能毫無意義,因爲任何人都可以查看我網站的html源代碼,收集諸如文本框名稱屬性之類的信息。如何確保POST表單通過我的網站發送?
讓我知道如果我不清楚。
直到最近,我開始學習使用PHP和ASP.NET來製作網站。所以,請稍微清楚,因爲我只是一個初學者。提前致謝。
A
回答
4
您可以檢查引薦網址,如果它與您的域匹配,那麼它是安全的。
$ref = $_SERVER["HTTP_REFERER"];
比較價值$ ref與您的域名後,分裂它只獲得域名。
+0
這是可行的,但我不認爲'那麼它是安全的':因爲這也可以改變 –
+0
@ØHankyPankyØ在網絡中沒有任何東西是安全的,但作爲一個啓動開發者,這種技術可以給出積極的步驟網絡安全。 – user2598238
+0
後面的部分是正確的,+1爲你的答案:) –
0
那麼你知道你期望從你的表單中獲得什麼字段和數據,所以最好的辦法是根據這個來驗證POST數據。如果您知道您期待x個字段,然後驗證並驗證該數據。例如,如果您有一個包含日期輸入的字段,請使用PHP確保它是有效的日期。如果它是一個整數,在將它用於任何事物之前驗證它是一個整數。對於文本字段,去掉所有html和JavaScript等等。你明白了。
這樣做比嘗試驗證表單是否從您的網站發佈要好得多。
2
3
您可以使用一種稱爲跨站請求僞造的技術:http://en.wikipedia.org/wiki/Cross-site_request_forgery
本質的做法大致是:
- 創建一個大的隨機字符串,其存儲在服務器端的會話
- 包括您表單中的隱藏字段,表示隨機生成的上述號碼
- 當您處理表單時,請檢查表單和會話表示。
- 破壞會議的代表
這一過程的主要限制是你的形式是有時間限制的,會話銷燬敏感,將只與用戶的交互工作。
一旦你掌握了PHP的基礎知識,爲什麼不看看使用框架?我使用Symfony2很多,他們有一個很好的表格包,從一開始就處理這種安全問題:http://symfony.com/doc/current/book/forms.html#csrf-protection
相關問題
- 1. 通過網址發送$ POST
- 2. 如何通過POST請求向網站發送請求?
- 3. 表單不通過POST發送數據
- 4. 我不確定如何通過電子郵件發送表單
- 5. 如何發送POST值到網站?
- 6. 如何通過我的網站發送短信
- 7. 通過發送POST
- 8. 如何Laravel通過表單發送POST圖像URL變量4
- 9. 通過Android的HttpRequest發送簡單POST
- 10. 如何通過JavaScript Ajax POST發送HTML表單的表單參數?
- 11. 如何保存通過表單發送的數據串接?
- 12. 如何通過POST以正確的方向發送圖片
- 13. 如何通過表單發送$ _POST?
- 14. HttpURLConnection,如何通過post發送參數?
- 15. 如何通過POST發送textBox值
- 16. 如何通過ajax post發送圖片?
- 17. 如何通過telnet發送POST請求
- 18. 如何通過url.openStream()發送POST數據?
- 19. queque如何通過POST發送數據?
- 20. 從node.js發送POST - 網站如何識別我?
- 21. 無法通過發送頭從網站
- 22. 如何保存html表單並通過ajax發送到php
- 23. 如何通過表單發送POST請求,同時發送表單內容的電子郵件?
- 24. 通過ajax發送表單?
- 25. 發送通過表單
- 26. 通過HTTP發送XML post
- 27. jQuery通過POST發送值
- 28. 通過發送POST參數
- 29. 通過Ajax POST發送HTML
- 30. 我將如何通過HTTP POST發送填充對象的NSArray?
可能的重複:http://stackoverflow.com/questions/5631324/accept-post-from-only-自己的服務器 – Pieter