gpt4 book ai didi

php - 如何防止 HTTP 欺骗?

转载 作者:可可西里 更新时间:2023-11-01 13:46:30 27 4
gpt4 key购买 nike

我们已经使用带有设置 cookie 的 PHP 创建了一个数据库驱动的网站,现在需要防止 HTTP 欺骗,关于如何做到这一点有什么想法吗?我们是这方面的初学者,所以任何帮助都会很棒

最佳答案

您不能“欺骗”HTTP 请求。您向服务器发送请求,服务器会做出适当的响应。

我认为您要防止的是 cookie 欺骗。考虑到 cookie 存储在客户端,您无法阻止用户修改其内容。

不要在您的 cookie 中存储敏感信息。它们不安全且容易被客户端读取和修改。

改用 PHP session 。关于 session 如何工作以及如何保证它们安全的完整解释可以在 one of my previous answers 中阅读。 .

本质上,保护 session 是在两个方面完成的:

  • 防止 session 固定
    每 X 次请求重新生成一个新的 session_id,以减少攻击者窃取 ID 的时间。

  • 唯一标识客户端
    使用 IP 和/或 User-Agent 来唯一标识客户端,并根据 session 中存储的值检查每个页面加载的值。这实际上是唯一标识客户的仅有的两个选择。

即使有了它,也没有任何解决方案是万无一失的,一旦您的 session_id 遭到破坏,您就完蛋了。

同样,如需深入解释,请参阅 my previous answer .

关于php - 如何防止 HTTP 欺骗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2307946/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com