Heim > Backend-Entwicklung > PHP-Tutorial > 给表单加token可以防暴力破解吗?

给表单加token可以防暴力破解吗?

WBOY
Freigeben: 2016-06-06 20:09:55
Original
1762 Leute haben es durchsucht

前提:这里仅对token对防暴力破解的意义进行讨论,不涉及到其他防暴力破解措施,比如验证码等。
看到很多文章都说加token可以防止暴力破解,但并没有说为什么。
据小弟的认识,给表单加token (type=“hidden”)后,这个token不管算法多厉害,但是总归会在前端源码中输出,暴力破解者仍然可以在提交认证前获取它,因此token是不是就失去了防暴力的意义了?
如果可以防止,又是什么逻辑呢? 麻烦哪位英雄指点一二。谢谢。

回复内容:

前提:这里仅对token对防暴力破解的意义进行讨论,不涉及到其他防暴力破解措施,比如验证码等。
看到很多文章都说加token可以防止暴力破解,但并没有说为什么。
据小弟的认识,给表单加token (type=“hidden”)后,这个token不管算法多厉害,但是总归会在前端源码中输出,暴力破解者仍然可以在提交认证前获取它,因此token是不是就失去了防暴力的意义了?
如果可以防止,又是什么逻辑呢? 麻烦哪位英雄指点一二。谢谢。

表单token的作用是防止重复提交和CSRF,你的思路没错,破解方只要获取到输出到token值直接提交就可以了。防暴力破解应该理解成防止自动化脚步快速请求以达到破解的目的,所以验证码类防爆破是目前的主流。

没什么用。防账号破解不如考虑一下密码3次错锁定账号15分钟之类的,虽然不去根,但是破解时间极大的延长了。当然如果你一下子锁12小时,一天能尝试6次,一年2200次,估计有生之年没希望了。

没人回答。。5555.

个人觉得,token对CSRF攻击是有效的,因为随机码给攻击者在“伪造请求”时造成了很大的困难。

token一般用于防止重复提交,用于提交后,点击浏览器刷新按钮,或者后退按钮提交,并不能解决暴力破解问题,除非再加上验证码或者速度检测
当然csrf攻击放到也是令牌的一大用处

token抓下来,接着上次的密码再继续请求就可以了 ,可以多弄几台机器,每台机器分一个区间,分布式破解

防止重复提交还行,但是弊端也很大的说,就是 防君子不防小人,给正常人增加难度而已.

大兄弟可以去看看yii2.0如何防止csrf攻击的

Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage