php - 托尔根 CSRF 不工作-6ren

php - 托尔根 CSRF 不工作

转载作者：行者123 更新时间：2023-11-29 18:30:35

25

4

我不知道或者是问题所在，我的代码无法正常工作，总是错误 1||错误 2

  <?php
 session_start();
 $token = uniqid(rand(), true);
 $_SESSION['token'] = $token;
 $_SESSION['token_time'] = time();

 ?> 
  <body>
 <form id="form" name="form" method="post" action="">
   <p>Pseudo : 
  <label>
   <input type="text" name="pseudo" id="pseudo" />
  </label>
 </p>
<p>E-mail : 
  <label>
  <input type="text" name="email" id="email" />
 </label>
 </p>
 <p>Nom : 
 <label>
  <input type="text" name="nom" id="nom" />
 </label>
 <input type="hidden" name="token" id="token" value="<?php echo $token;?>"/>
 </p>
  <p>
 <label>
   <input type="submit" name="Envoyer" id="Envoyer" value="Envoyer" />
  </label>
 </p>
</form>
</body>
</html>

我不知道或者是问题所在，我的代码无法正常工作，总是错误 1 ||error2我想保护我的网站，但我不知道如何使用此 torgen，请帮助我

 <?php

session_start();

if(isset($_SESSION['token']) && isset($_SESSION['token_time']) && 
 isset($_POST['token']))
  {

 if($_SESSION['token'] == $_POST['token'])
 {

    $timestamp_ancien = time() - (15*60);
    //Si le jeton n'est pas expiré
    if($_SESSION['token_time'] >= $timestamp_ancien)
    {
        //here Instruction  


     }else{echo"error3";}
    }else{echo"error2";}
    }else{echo"error1";}
  ?>

最佳答案

您尚未声明意味着表单将在同一页面上发布的操作。
因此，对于第 1 点，每次请求进入页面时都会运行生成 token 的代码，因此 token 每次在 session 中都会更改，但在 $_POST 中保持较早的值，并引发 error2。
您尚未检查方法和 $_POST 变量，这就是您收到错误 1 的原因

请尝试以下操作:

 <?php
 session_start();
 function generate_token(){
    $token = uniqid(rand(), true);
    $_SESSION['token'] = $token;
    $_SESSION['token_time'] = time();
 }


 //avoid putting script at bottom until required
if($_SERVER['REQUEST_METHOD']=='POST' && !empty($_POST)){
if(isset($_SESSION['token']) && isset($_SESSION['token_time']) && 
 isset($_POST['token']))
  {

 if($_SESSION['token'] == $_POST['token'])
 {

    $timestamp_ancien = time() - (15*60);
    //Si le jeton n'est pas expiré
    if($_SESSION['token_time'] >= $timestamp_ancien)
    {
        //here Instruction  
        generate_token();//for next call


     }else{echo"error3";}
    }else{echo"error2";}
    }else{echo"error1";}
}
generate_token();
  ?>
  <body>
 <form id="form" name="form" method="post" action="">
   <p>Pseudo : 
  <label>
   <input type="text" name="pseudo" id="pseudo" />
  </label>
 </p>
<p>E-mail : 
  <label>
  <input type="text" name="email" id="email" />
 </label>
 </p>
 <p>Nom : 
 <label>
  <input type="text" name="nom" id="nom" />
 </label>
 <input type="hidden" name="token" id="token" value="<?php echo $_SESSION['token'];?>"/>
 </p>
  <p>
 <label>
   <input type="submit" name="Envoyer" id="Envoyer" value="Envoyer" />
  </label>
 </p>
</form>
</body>
</html>

现在发生的情况是每次页面加载时都会调用您的函数，但发布数据将在早期状态进行比较和操作。

**如果我理解有任何错误，请纠正我。**

关于php - 托尔根 CSRF 不工作，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/45722013/

25

4

0

文章推荐： java - 如何从 Insert 语句返回主键 Mysql Java Eclipselink

文章推荐： javascript - 如何从 JavaScript 中的对象键值返回数组？

文章推荐： javascript - 在 JSColor 中，如何获取颜色的十六进制值？

文章推荐： PHP/MySQL - 不允许我插入(或替换)右单引号 "’ "

csrf - CSRF 防御也可以防御点击劫持吗？
假设我的 Web 应用程序使用 CSRF token 防止 CSRF 攻击，此外，它使用 SSL 并防止 XSS 攻击。此外，出于这个问题的目的，假设它仅在最近的浏览器中使用并且它们没有错误。我可以使
csrf - CSRF 是否安全？
很多人都在谈论实现 CSRF 来阻止对网页的跨站点攻击。但我认为破坏 CSRF 并向服务器发出请求非常容易。那么它是如何工作的呢？您从一个页面开始，呈现一个表单并使用 CSRF token 保留一
csrf - 好像我对 CSRF 的理解有误？
在阅读了许多有关 CSRF 的文档后，我仍然有点困惑。所以我希望有人可以向我解释一下: 假设我有一个仅供经过身份验证的用户使用的个人资料页面，比如说 abc.com/profile，它会显示我所有的私
csrf - 如何将 CSRF Token 设置为不同的上下文路径
我们基于 Angular 的 web 应用程序与在不同域和上下文路径上运行的企业门户集成。我正在使用基于 Spring Security 的 CSRF token 来验证传入的请求。该应用程序在本地完
csrf - JSON API 和 CSRF
我正在开发一个 Web API。身份验证是通过 cookie 进行的。所有端点通过JSON接收参数在请求正文中。我需要实现 CSRF token保护他们？这怎么可能被利用呢？是否可以通过正常发送JS
csrf - CSRF token 是 base64url 编码的吗？
我正在开发一个从 cookie header 解析 CSRF token 的应用程序。我想知道 CSRF token 是否使用 URL 安全字符进行 base64 编码(参见 https://simp
即使包含 csrf token ，Django CSRF 验证也失败
我知道当提交时表单中未包含 csrf token 时会发生此错误，但这次并非如此。我正在尝试登录管理站点。管理员登录表单包含 csrf token ，我可以看到该 csrf token 的值与 cs
csrf - 在 Yii2 中禁用单个操作的 CSRF 验证
有没有办法对 Controller 的某些操作禁用 CSRF 验证，同时对其他操作保持启用状态？就我而言，我有几个可配置的 Action 类，它们旨在注入(inject)到 Controller 中
csrf - 什么是 CSRF 代币？它的重要性是什么？它是如何运作的？
我正在编写一个应用程序(Django，确实如此)，我只想了解“CSRF token ”实际上是什么以及它如何保护数据。如果不使用CSRF token ，发布数据不安全吗？最佳答案简单来说跨站请求
csrf - 如果没有同源策略，一个邪恶的站点可以读取 CSRF token 吗？
来自维基百科关于同源政策 https://en.wikipedia.org/wiki/Same-origin_policy The same-origin policy helps protect s
csrf - 如何使用 axios 发送 CSRF header ？
我在 Vue 环境中使用 axios 与用 Symfony 编写的网络服务对话。每个请求都需要设置一个 X-Auth-Token header 。该值存储在 auth_token cookie 中。
javascript - CSRF/CSRF 安全 REST 调用的最佳实践？
我想保护我的 REST 调用免受 XSRF 攻击。我正在做的是: 服务器在用户成功登录后向浏览器发送一个记录的 cookie。在每个请求(GET、POST、DELETE)上，我将登录的 cookie
Django CSRF 验证失败。请求中止。- CSRF cookie 未设置
我知道这个问题以前有人问过。我已经尝试了人们给出的几乎所有选项，但我似乎无法解决它。我是一个完整的新手，所以请让我知道我哪里出错了。我正在尝试编写一个简单的原始表单。到目前为止，我还没有实现任何身份
csrf - Laravel 5 : POST without CSRF checking
似乎 Laravel 5 默认将 CSRF 过滤器应用于所有非获取请求。这对于表单 POST 是可以的，但对于 POST DELETE 等的 API 可能是一个问题。简单的问题: 如何设置没有 CS
spring-security - CSRF token 已关联到此客户端”而不禁用 CSRF
当我从客户端向服务器发出 DELETE 请求时，我遇到了错误。 “CSRF token 已关联到此客户端”。响应代码:403 和响应头 { "cache-control": "no-cache,
security - 为什么随机 CSRF key 可以防止 CSRF 攻击？
to prevent CSRF attacks, a random CSRF secret has been generated. 以上内容来自 symfony: http://www.symfony
Django CSRF 失败 : CSRF token missing or incorrect
我正在使用 Django Rest Framework还有 django-rest-auth . 我有标准的 API 端点(/login、/logout、/registration...) 使用我的浏
csrf - Google OAuth 状态 token 实际上阻止了什么 CSRF？
这个问题在这里已经有了答案: OAuth2.0 Server stack how to use state to prevent CSRF? for draft2.0 v20 (3 个回答) 4年前关
csrf - 我需要知道如何在 Impresspages cms 中禁用 CSRF 功能
我需要知道如何在 Impresspages cms 中禁用 CSRF 功能。我在之前的帖子中看到了一个可能的答案，但没有完全分类。当我的客户在 cleanwaterpartnership.co.uk
django - CSRF 失败 : CSRF token missing or incorrect
我正在使用 Django 1.7 和 django-rest-framework。我制作了一个 API，它返回一些 JSON 数据并将其放入我的 settings.py REST_FRAMEWORK

首页

博学

6Ren·AI

商城

php - 托尔根 CSRF 不工作