个人中心
gpt4 book ai didi

php安全开发 添加随机字符串验证,防止伪造跨站请求

转载 作者:qq735679552 更新时间:2022-09-29 22:32:09 26 4
gpt4 key购买 nike

CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章php安全开发 添加随机字符串验证,防止伪造跨站请求由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.

yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。  比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了 。

随机串代码实现  咱们按照这个思路,山寨一个crumb的实现,代码如下:  。

复制代码代码如下:

<?php    
class Crumb {  
    CONST SALT = "your-secret-salt";                                                             
    static $ttl = 7200;                                                                                            
    static public function challenge($data) {    
        return hash_hmac('md5', $data, self::SALT);    
    }                                                                                                                 
    static public function issueCrumb($uid, $action = -1) {    
        $i = ceil(time() / self::$ttl);    
        return substr(self::challenge($i . $action . $uid), -12, 10);    
    }                                                                                                                 
    static public function verifyCrumb($uid, $crumb, $action = -1) {    
        $i = ceil(time() / self::$ttl);                                                                               
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||    
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)    
            return true;                                                                                        
        return false;    
    }                                                                                                               
}  

  。

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。  应用示例  构造表单 在表单中插入一个隐藏的随机串crumb  。

复制代码代码如下:

<form method="post" action="demo.php">    
 <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">    
 <input type="text" name="content">    
 <input type="submit">    
 </form>  

处理表单 demo.php 对crumb进行检查  。

复制代码代码如下:

<?php    
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {    
    //按照正常流程处理表单    
} else {    
    //crumb校验失败,错误提示流程    
}  

本文出自包子博客 。

最后此篇关于php安全开发 添加随机字符串验证,防止伪造跨站请求的文章就讲到这里了,如果你想了解更多关于php安全开发 添加随机字符串验证,防止伪造跨站请求的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。

26 4 0
文章推荐: PHP 获取文件路径(灵活应用__FILE__)
文章推荐: php设计模式小结
文章推荐: PHP下使用CURL方式POST数据至API接口的代码
文章推荐: PHP中通过HTTP_USER_AGENT判断是否为手机移动终端的函数代码
qq735679552
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com