ホームページ > バックエンド開発 > PHPチュートリアル > 防站外提交(csrf)有什么好办法?

防站外提交(csrf)有什么好办法?

WBOY
リリース: 2016-06-06 20:47:45
オリジナル
1151 人が閲覧しました

需要代码,如何防止站外提交数据

回复内容:

需要代码,如何防止站外提交数据

比较常见的方法是给每个需要提交数据的表单产生一个hashkey,提交的时候一起带上就行。

  1. 检查 referrer header
  2. 如果用户的id是用户以外的其他人看不到的,可以在请求里带上用户的id
  3. 请求里带上一个token,token可以是绑定用户,也可以是每次请求生成(*)
  4. 提交请求后,服务器确认后再执行请求对应的操作,例如弹出对话框要求用户确认
  5. 提醒用户在访问你的网站的时候不要访问其他站点
  6. 提醒用户及时登出
  7. 用户关闭页面后就登出用户
  8. 用户一定时间未操作就登出用户

* token每次生成比较头痛的就是并行兼容的问题,如何对付客户用多个标签页浏览同一网页时,各个标签页的行为一致,需要小心处理。我喜欢折中一下,token采取绑定用户+超时,但不绑定请求的方式。保持一定便利性的同时,简单降低token长期不变带来的回放攻击的风险。 @沙渺

Django 提供了 CSRF 的框架,默认 POST 请求都需要带上 token 才行。

给你参考一下:https://docs.djangoproject.com/en/dev/ref/contrib/csrf/

请求带上一个token,token可以考虑绑定用户,提交请求后,服务器确认后再执行请求

额,使用x-csrf-token这个HTTP header。。。

个人觉得站外提交根本就不能防止,这是我曾经问的一个问题http://segmentfault.com/q/1010000000353407,个人认为插入和服务器端的SESSION一样的本地HASH值也不行,毕竟Chrome一按F12就可本地修改代码了,最重要的还是服务器端进行验证客户端提供的参数

関連ラベル:
php
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
最新の問題
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート