gpt4 book ai didi

php - 这足以进行 CSRF 保护吗?

转载 作者:可可西里 更新时间:2023-11-01 00:52:12 27 4
gpt4 key购买 nike

这是否足以保护 CSRF:

  • 生成一个随机字符串,$_SESSION['hash']存储它
  • 表单中的隐藏值(在 $_POST['thing'] 中)包含随机字符串
  • 提交表单时,它会检查 $_SESSION['hash'] 是否等于 $_POST['thing'],如果匹配则继续

我网站的一位用户一直告诉我我的网站易受攻击,但我不知道他是否只是在恶作剧。还有什么我可以做的吗?

最佳答案

我认为您缺少的是将 token 限制在较小的时间窗口内。

你应该看看Chris's CRSF-article .快速总结:

  • CSRF 攻击必须包含有效 token (反 CSRF token )才能完美模仿表单提交。
  • token 的有效性也可以限制在一个小的时间窗口内,例如五分钟
  • 如果您按照我的建议在所有表单中使用 token ,则可以从您的关注列表中消除 CSRF。虽然没有任何安全措施可以被认为是绝对的(攻击者理论上可以猜测一个有效的 token ),但这种方法可以减轻大部分风险。下个月之前,注意安全。

关于php - 这足以进行 CSRF 保护吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4840656/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com