防跨站请求措施 (CSRF)

最新推荐文章于 2021-03-11 10:31:26 发布
最新推荐文章于 2021-03-11 10:31:26 发布
阅读量859 收藏
点赞数
分类专栏: 安全 PHP 文章标签: csrf session token 服务器 脚本 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/black_OX/article/details/7630532
版权
PHP 同时被 2 个专栏收录
77 篇文章 0 订阅
订阅专栏
安全
12 篇文章 0 订阅
订阅专栏

使用表单提交数据到服务器是日常的程序行为,可很多同行并没有对伪数据跨站请求采取措施.

这里要谈的是服务器端跨站请求而不是JS脚本跨站攻击.相对而言,JS脚本跨站造成的危害会更大,防范措施类似SQL防注入.

现在要讲的是CSRF.

CSRF是什么呢?是指从我们的表单之外的其它地方伪造数据提交到处理程序的行为.

欺诈者经常使用这种方法提交垃圾数据,这些数据不但惹人生厌,而且很可能对站点造成破坏.


防范措施

我们可以随机生成一个乱数并将他储存到会话,然后让这个数字串随表单一起提交到服务器.

如果通过$_POST提交过来的乱数与$_SESSION的乱数一致,我们完全有理由认为这个提交是合法的.


在初始化时应该创建它:

session_start();
if(!isset($_SESSION['token'])) {
	$_SESSION['token'] = sha1(uniqid(mt_rand(), TRUE));
}

在表单中应该有这个input 

<input type="hidden" name="token" value="{$_SESSION['token']}" />

在获取表单数据时就可以这样判断了 

if(isset($_POST['submit']) && $_POST['token'] == $_SESSION['token']) {


black_OX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django CSRF请求伪造防护过程解析
09-18
主要介绍了Django CSRF请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
防跨
理想充实生活,理想创造价值。
11-17 301
 using System;using System.Data;using System.Configuration;using System.Linq;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.HtmlControls;using Syste
php 接口 防跨,Php 防跨分析
weixin_30974905的博客
03-11 111
今天在改bug时,发现同事写的代码里存在跨漏洞,于是加了个php防跨函数htmlentities()。因为以前也没有认真分析过此函数,翻了下文档,想了解透测点。Htmlentities() 转化所有适当字符为html实体函数说明:string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset ...
php设置跨,php配置防跨防跨目录安全
weixin_31180441的博客
03-09 794
php配置防跨防跨目录安全现在很多网都是采用php建,不少都是直接使用现在成熟的cms程序,这些php开发的cms系统本身安全性可能并不高,这时就需要我们在服务器做一些针对php程序配置防跨防跨目录等一些设置,可以有效的防止服务器上所有的php网被恶意篡改。适用范围及演示系统适用范围:php5.3及以上版本演示系统:centos防跨防跨目录安全设置方法第1步:登录到linux系统...
Web防止跨脚本攻击
weixin_43355440的博客
10-24 277
脚本攻击 XSS攻击全称跨脚本攻击(Cross-site scripting),为和CSS区别,改为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被...
网络安全原理与应用:跨请求伪造CSRF简介.pptx
05-16
请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解跨请求伪造CSRF的基本概念; 了解跨请求伪造CSRF的攻击原理; 跨请求伪造CSRF简介 一、跨请求伪造CSRF简介 跨请求伪造(Cross-site ...
CSRF请求伪造CSRF PHP demo代码
05-04
CSRF请求伪造CSRF PHP demo代码,带数据库,2021年5月4日,亲测可以运行
CSRF(跨请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
什么是跨攻击
ellis2008的专栏
03-11 1633
<br />跨攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。<br />业界对跨攻击的定义如下:“跨攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。”由于HTML语言允许使用脚本进行简单交互,
php读取二进制流
热门推荐
老鹰之歌的学习笔记
07-22 1万+
将php数据转换为二进制数据 string pack ( string $format [, mixed $args [, mixed $...]] ) 将二进制数据转换为php数据 array unpack ( string $format, string $data ) $format: a – NUL-padded string a – NUL- 字符
Ubuntu 14.04 LTS下安装 LNMP环境
老鹰之歌的学习笔记
07-28 1万+
最近在 Ubuntu 14.04 LTS 安装 LNMP 一键安装包的时候出现了问题,PHP 5 服务没有启动,只好使用 Ubuntu 官方源进行安装: Nginx (读音 “engine x”)免费、开源、高效的 HTTP 服务。Nginx 是以稳定著称,功能丰富,结构简单,低资源消耗。本教程将演示如何在ubuntu 14.04 服务器中安装 nginx、PHP5(php-fpm)、M
PHP Extension开发(Zephir版本)
老鹰之歌的学习笔记
02-10 9854
上篇介绍了C语言开发PHP扩展的方法, 现在介绍使用Zephir开发扩展的方法. 关于Zephir需要简单介绍一下: Zephir 是为PHP开发人员提供的能够编写可编译/静态类型的高级语言.是优秀的Phalcon团队为开发第二版本框架所编写的新兴语言,其语法优雅,开发扩展非常方便,执行效率上据说是与C不分上下, 他的编译流程如下:Zephir -> C -> bin. Zephir的目的是创
PHP消息推送的探讨
老鹰之歌的学习笔记
10-23 7952
随着人们对Web即时应用需求的不断上升,Server Push(推送)技术在聊天、消息提醒尤其是社交网络等方面开始兴起,成为实时应用的数据流核心。这篇日志试图探讨的便是各种适合于PHP的Push的实现方式以及其优劣。 1. 什么是Server Push 想象在聊天应用中,如果使用传统的ajax来承担消息的传入,那么一般是通过每隔一定时间拉取一次信息的方式实现,但是其实这种方式有大量查询
PHP7新特性介绍
老鹰之歌的学习笔记
12-18 7737
PHP7-New-Features 本文档只介绍PHP7相关的新特性以及功能修改等, 对PHP7的性能和源码结构不做分析. 目录 新增功能 常用的语法糖标量类型和返回类型声明错误处理机制修改ASTNative TLS字符串处理机制修改整型处理机制修改参数处理机制修改foreach修改list()修改变量处理机制修改其他语言层面的修改 弃用功能新增函数修改函数 其他修改参
CentOS编译安装PHP开发环境
老鹰之歌的学习笔记
08-24 6257
CentOS编译安装PHP开发环境 最近在安装服务器开发环境, 踩了不少坑, 这里总结下来. yum安装虽然简单, 却不灵活, 版本也比较老旧不合符设计中的选型, 因此只使用yum安装一些依赖库, 目标软件采用编译安装. 目录 安装PHP安装PHP扩展安装Phalcon框架安装MySQL安装MongoDB安装Redis 安装PHP yum安装依赖库 yum inst
判断远程url是否有效的几种方法
老鹰之歌的学习笔记
04-11 4490
前提 需要判断远程URL是否有效,远程url包括远程图片,网页,视频等等元素 解决办法: 使用PHP解决 使用file_get_contents函数,不过优缺点如果url无法访问,会出现终止程序问题 使用curl返回,然后判断是否正确执行 使用get_headers函数,根据HTTP返回值查看是否有200 使用js解决: 使用原生的js函数Activ
cURL常用功能
老鹰之歌的学习笔记
11-21 4344
我用php ,curl主要是抓取数据,当然我们可以用其他的方法来抓取,比如fsockopen,file_get_contents等。但是只能抓那些能直接访问的页面,如果要抓取有页面访问控制的页面,或者是登录以后的页面就比较困难了。 POST数据: 假设我们有一个处理表单的网址http://www.example.com/sendSMS.php,其可以接受两个表单域,一个是电话号码,一个是短
php://input
老鹰之歌的学习笔记
01-22 2695
在使用xml-rpc的时候,server端获取client数据,主要是通过php输入流input,而不是$_POST数组。所以,这里主要探讨php输入流php://input    对一php://input介绍,PHP官方手册文档有一段话对它进行了很明确地概述。    “php://input allows you to read raw POST data. It is a les
如何防御csrf请求伪造
最新发布
02-17
CSRF(Cross-Site Request Forgery,跨请求伪造)是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞在未经授权的情况下对用户进行身份验证和提交表单等操作。 以下是防御CSRF攻击的一些常见措施: 1. 随机化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值