- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我已经阅读了很多关于 CSRF 保护的文章(this is a good one)以及关于 SO 的各种问题,但它们似乎都没有提供足够的信息来回答我的问题。
我正在开发自己的 CMS,我想保护我的登录和评论表单。我将允许匿名用户在我的网站上发表评论。
我网站上的所有表格都使用 token 进行保护。我已经知道这种方法,但问题是它需要一个事件 session (即,在用户登录之后)。登录和评论表单的问题在于几乎任何人都可以访问它们并且不需要您登录 - 在这种情况下什么是防止 CSRF 的最佳保护措施?
在上面的链接中,我读到当用户尝试登录时可以创建一个“预 session ”,然后继续使用通常的反 CSRF 方法(比如为用户的 session 分配 token ) ,但我不知道如何实现这一目标。
referrer header 是一个弱解决方案,所以我想我不应该打扰。据我测试,Origin header 仅在 Google Chrome 中受支持。自定义标题呢? XMLHTTPRequest 似乎是一种可能性,但是,我确实花了三个多小时在 Google 上查找有关如何在其网站上实现此类安全措施的一些信息。但是,即使我可以使用自定义 header ,它不会因为 HTTP header 可以完全伪造而变得毫无用处吗?
那么,问题是:我应该如何保护我的登录和评论表单免受 CSRF 攻击?
编辑:这是我在上面提供的链接中的一些附加信息:
We recommend strict Referer validation to protect against login CSRF because login forms typically submit over HTTPS, where the Referer header is reliably present for legitimate requests. If a login request lacks a Referer header, the site should reject the request to defend against malicious suppression.
和
Secret validation tokens can defend against login CSRF, but developers often forget to implement the defense because, before login, there is no session to which to bind the CSRF token. To use secret validation tokens to protect against login CSRF, the site must first create a “presession,” implement token-based CSRF protection, and then transition to a real session after successful authentication.
阅读以上引述后,我无法结束这场争论。其中之一提到使用 referrer header ,但我不太确定它是否真的增加了 web 应用程序的安全性。
编辑 2:使用验证码怎么样?
最佳答案
CSRF 问题与使用登录用户凭据提交内容的人有关。这是非常有问题的,因为恶意站点可以像刚刚浏览到您站点的任何人一样做事。如果您谈论的是可以匿名使用的表单,无需登录,CSRF 风险就会小得多,因为从另一个站点发布到表单的 yield 要少得多——因为任何人都可以直接使用相同的权限进行操作.
所以我不明白为什么需要针对未登录表单防止 CSRF。
如果您确实需要, session 前 token 在技术上可能类似于真实 session ,但只是一个更轻量级的 token 。除了生成的 token 外,它实际上不会包含任何其他内容。
编辑:关于将 PHP 提供的 $_SESSION 用于预 session token ,这是 PHP 的标准 session 机制。如果您想使用它,那么是的,仅此而已。
但是,您并没有被迫那样做,我个人也不会那样做,因为它会为所有访问者消耗服务器内存,而这并不是真正需要的。对于更有效的机制,基本上您需要 a) 一个识别用户的 cookie 和 b) 存储在服务器端的东西告诉 cookie 是有效的(如果需要,它对谁有效,即 ip)。对于更轻量级的方法,您可以只创建一个 token ,将其存储在 cookie 中,并在表单中生成与该 token 匹配的东西作为隐藏字段,并匹配提交时的那些(如 Devesh 所解释的)。后者会阻止从另一个站点提交表单,前者甚至会阻止恶意站点在您的站点上进行查找并尝试为最终用户设置任何 cookie 的情况。所以我能想到的三种方法:
EDIT2:在验证码上,它们的主要用例是防止自动(暴力)登录尝试。他们也会解决登录表单上 CSRF 请求的问题,但这样做有点矫枉过正。为了防止暴力登录攻击,在某些情况下可能需要它们,尽管为了不过度降低可用性,可能需要一些对用户更友好的东西。也许像 KittenAuth :)
关于php - 保护登录和评论表单免受 CSRF,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15632700/
我在 JavaScript 文件中运行 PHP,例如...... var = '';). 我需要使用 JavaScript 来扫描字符串中的 PHP 定界符(打开和关闭 PHP 的 )。 我已经知道使
我希望能够做这样的事情: php --determine-oldest-supported-php-version test.php 并得到这个输出: 7.2 也就是说,php 二进制检查 test.
我正在开发一个目前不使用任何框架的大型 php 站点。我的大问题是,随着时间的推移慢慢尝试将框架融入应用程序是否可取,例如在创建的新部件和更新的旧部件中? 比如所有的页面都是直接通过url服务的,有几
下面是我的源代码,我想在同一页面顶部的另一个 php 脚本中使用位于底部 php 脚本的变量 $r1。我需要一个简单的解决方案来解决这个问题。我想在代码中存在的更新查询中使用该变量。 $name)
我正在制作一个网站,根据不同的情况进行大量 PHP 重定向。就像这样...... header("Location: somesite.com/redirectedpage.php"); 为了安全起见
我有一个旧网站,我的 php 标签从 因为短标签已经显示出安全问题,并且在未来的版本中将不被支持。 关于php - 如何避免在 php 文件中写入
我有一个用 PHP 编写的配置文件,如下所示, 所以我想用PHP开发一个接口(interface),它可以编辑文件值,如$WEBPATH , $ACCOUNTPATH和 const值(value)观
我试图制作一个登录页面来学习基本的PHP,首先我希望我的独立PHP文件存储HTML文件的输入(带有表单),但是当我按下按钮时(触发POST到PHP脚本) )我一直收到令人不愉快的错误。 我已经搜索了S
我正在寻找一种让 PHP 以一种形式打印任意数组的方法,我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
这个问题已经有答案了: 已关闭11 年前。 Possible Duplicate: What is the max key size for an array in PHP? 正如标题所说,我想知道
我正在寻找一种让 PHP 以一种形式打印任意数组的方法,我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
我在 MySQL 数据库中有一个表,其中存储餐厅在每个工作日和时段提供的菜单。 表结构如下: i_type i_name i_cost i_day i_start i_
我有两页。 test1.php 和 test2.php。 我想做的就是在 test1.php 上点击提交,并将 test2.php 显示在 div 中。这实际上工作正常,但我需要向 test2.php
我得到了这个代码。我想通过textarea更新mysql。我在textarea中回显我的MySQL,但我不知道如何更新它,我应该把所有东西都放进去吗,因为_GET模式没有给我任何东西,我也尝试_GET
首先,我是 php 的新手,所以我仍在努力学习。我在 Wordpress 上创建了一个表单,我想将值插入一个表(data_test 表,我已经管理了),然后从 data_test 表中获取所有列(id
我有以下函数可以清理用户或网址的输入: function SanitizeString($var) { $var=stripslashes($var); $va
我有一个 html 页面,它使用 php 文件查询数据库,然后让用户登录,否则拒绝访问。我遇到的问题是它只是重定向到 php 文件的 url,并且从不对发生的事情提供反馈。这是我第一次使用 html、
我有一个页面充满了指向 pdf 的链接,我想跟踪哪些链接被单击。我以为我可以做如下的事情,但遇到了问题: query($sql); if($result){
我正在使用 从外部文本文件加载 HTML/PHP 代码 $f = fopen($filename, "r"); while ($line = fgets($f, 4096)) { print $l
我是一名优秀的程序员,十分优秀!