0
我們正在努力確保我們的網站安全 - 有人可能在提交表單時繞過我們網站對cookie的要求嗎? 我們正在嘗試防止跨站點攻擊。 謝謝繞過提交表單的cookie請求
A
回答
1
我想你的意思是跨站請求僞造(CSRF)。這可以通過表單中的特殊CSRF令牌輕鬆阻止。
每次顯示錶單時,標記都應該不同。
<?php
$token = md5(time()); /* a simple attempt to generate a token */
$_SESSION['csrf_token'] = $token;
?>
將它包含在您的表單中。
<form>
<input type="hidden" name="csrf_token" value="<?php echo $token ?>">
...
</form>
然後在表單提交的服務器上驗證它。
<?php
$storedToken = $_SESSION['csrf_token'];
unset($_SESSION['csrf_token']);
if ($_POST['csrf_token'] == $storedToken) { ... }
?>
確保令牌只能使用一次。
還使用SSL以提高安全性,如果尚未到位。
相關問題
- 1. 通過ajax請求提交html表單?
- 2. 通過AJAX請求提交表單
- 3. 的OnClick繞過表單提交
- 4. 表單提交繞過javascript驗證
- 5. Ajax請求的表單未提交
- 6. Ajax請求表單提交問題
- 7. Parserror在AJAX請求中,表單提交
- 8. Python:使用請求提交表單
- 9. 提交表單以觸發ajax請求
- 10. 使用請求提交表單Python
- 11. 使用Ajax請求提交表單
- 12. webBrowser Cookie和表單提交
- 13. 表單POST提交請求顯示爲get請求
- 14. Python3請求庫提交表單,不允許發佈請求
- 15. 如何「轉發」請求並獲取提交的Cookie /表單數據?
- 16. Http請求 - 繞過DNS [.Net]
- 17. Symfony2表單不會提交。表單名稱不在請求中
- 18. 要求表單提交recaptcha?
- 19. AJAX請求不提交我的表格
- 20. 如何繞過ASPX提交表單驗證頁面
- 21. 通過ajax請求提交jQuery.each結果
- 22. 如何區分從HTML表單提交的HTTP請求和從客戶端提交的HTTP請求?
- 23. 在提交表單上創建Cookie
- 24. 允許一個表單提交Cookie
- 25. PHP Cookie沒有設置表單提交
- 26. cookie來記住表單提交
- 27. 在PHP表單提交中設置Cookie?
- 28. 更新提交/拉請求Github清單
- 29. 表單提交後請求2.0用戶生成請求的正確方法
- 30. 請求繞過春季安全過濾
謝謝 - 什麼是阻止某人創建一個自動獲取令牌並響應的bot? – user1946914 2013-04-26 15:24:43
這是captcha的是和不同的問題。您的擔心是「跨站點攻擊」。如果一個bot提交表單,它不是跨站點。 **每個有權訪問表單的人都可以提交**。 – Bart 2013-04-26 16:50:18