gpt4 book ai didi

php - 防止 csrf

转载 作者:可可西里 更新时间:2023-10-31 23:06:07 29 4
gpt4 key购买 nike

我在这里尝试使用表单 key 方法进行 csrf 保护 http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/ .但它仅适用于页面上的一种形式。我的问题是

假设我有一个表单

<form action="action.php" method="post">
<!-- code here -->
</form>

和我正在使用的 php

<?php
if(isset($_POST['submit']) && isset($_SESSION['user']))
{
//do something
}

我已经在使用 session user 来确认他已登录,并且在我的网站上进行了 session 时,我的网站正在提交表单。我是否也必须使用 csrf 保护方法?

最佳答案

Do i have to use csrf protection method too?

是的,因为这正是 CSRF 危险的原因; “受害者”的 cookie 在不知情的情况下发送到服务器以代表“黑客”执行特定操作,当他们在另一个站点上提交修改后的表单时,用一张可爱的小猫照片伪装(例如)。

提交伪装表单时,您的站点无法区分请求和合法请求,因为身份验证将有效。添加 CSRF token 可确保表单是从您网站上的页面提交的。

创建 session 时,您还会生成一个 CSRF token 。然后在 session 期间将此 token 用于您网站上的所有表单;这样做可以防止同时打开多个选项卡的问题。

即使表单是从您的页面复制的,包括 CSRF token ,该 token 也会存储在不属于经过身份验证的用户的 session 中。

关于php - 防止 csrf,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19721752/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com