【ThinkPHP5初体验(二)1】CSRF防范原理(thinkphp5 CSRF ajax令牌)

最新推荐文章于 2022-04-20 15:35:28 发布
最新推荐文章于 2022-04-20 15:35:28 发布
阅读量4k 收藏 4
点赞数
分类专栏: ThinkPHP5初体验 文章标签: CSRF ajax令牌 thinkPHP5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jeason_L/article/details/85081317
版权

CSRF是什么我就不解释了,百度一搜全是,比波姐的片源还要多,千篇一律都他么是复制粘贴。

那为什么这个令牌(token)操作可以防范CSRF呢?下面我就随便说说说错了大家不要介意。

首先我们要知道令牌是存储在session里面的,这个很重要

 php代码如下

<?php 
	namespace app\index\controller;
    //我直接允许跨域,因为伪装CSRF网站随便在nginx搞个反向代理,跨域问题随便破
	header('Access-Control-Allow-Origin:*');
    //$this->request要用到继承Controller
	use think\Controller;
    //操作session需要用到Session
	use think\Session;
    
	class Index extends Controller
	{
		function index()
		{
            //新建一个令牌
			$t = $this->request->token('__token__', 'sha1');
            //直接输出令牌,不做json处理了
			echo $t;
		}
		function action()
		{
            //判断,找到session的令牌和上传的令牌是不是一样
			if (Session::get('__token__') == $this->request->post('__token__')) {
				return '成功'.Session::get('__token__');
			} else{
				return '失败'.Session::get('__token__');
			}
		}
	}

html代码如下(这个直接放在www目录下面就好了,即网站根目录)(http://localhost和http://127.0.0.1都算是跨域噢

<html>
	<script src="https://code.jquery.com/jquery-3.1.1.min.js"></script>
	<body>
        <div id="first">第一次ajax产生的token:</div>
        <div id="second">第二次ajax输出的token:</div>
	</body>
	<script>
		$.ajax({
                //tp的url地址我放在这里,根据自己定义
                url:'http://127.0.0.1/public/index/index/index',
                type:'GET'
                success(data1){
                    first.innerHTML += data1
                    $.ajax({
                       url:'http://127.0.0.1/public/index/index/action',
                       type:'POST',
                       data:{
                            __token__:__token__
                        },
                       success(data2){
                           second.innerHTML += data2
                       }
                    })
                }
            })
	</script>
</html>

当我们本域名访问时,session一直是用这个

#session里面的代码
think|a:1:{s:9:"__token__";s:40:"133bda9af0805a24c95e19cace0d858315372f98";}

当我们跨域访问时,session每次请求都不一样

#第一个session
think|a:1:{s:9:"__token__";s:40:"d966cee47e4ee0a54d9beb126f6454199f3acacd";}

#第二个session
空

所以我们第二次根本找不到session的令牌,CSRF自然破解了

——代码疯子  : )

jeason_L
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkphpAJAX动态验证用户输入
12-18
使用Thinkphp3.2框架,wampserver服务器,ajax提交数据,详情见博客http://blog.csdn.net/welovesunflower/article/details/41963671
Thinkphp5 Paypal支付
10-26
1. **Thinkphp5框架**:Thinkphp5是基于PHP语言的一个轻量级、高性能的MVC(Model-View-Controller)框架,它提供了丰富的特性,如路由、模型、视图、控制器等,方便开发者构建高效的企业级应用。在本项目中,...
tp5.1 csrf 验证
天天的博客
11-25 845
说白了,就是加一个隐藏域 加隐藏域不是手动加的,是tp5.1 加的 发令牌 验证令牌,自动验证:
think PHP6 sql注入 XSS攻击 CSRF攻击
amateur12的博客
12-19 1493
composer下载: composer require ezyang/htmlpurifier 此方法放入common里,作为公共函数,随时调用,用来过滤信息 //过滤 xss if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
ThinkPHP6开启CSRF表单验证
东小记的博客
07-08 2112
目录 使用原因 简单配置 两种提交数据的场景 表单提交 ajax异步提交 使用原因 项目使用非前后端分离的情境下,提交表单时,开启CSRF中间件能提高操作安全性。 简单配置 开启session中间件与csrftoken验证中间件 # 修改app/middleware.php,去掉SessionInit类注释并增加FormTokenCheck类 <?php // 全局中间件定义文件 return [ // 全局请求缓存 // \think\middleware\
thinkphp5 表单验证
HD2killers的博客
03-15 491
thinkphp5 表单验证,使用Validate和token令牌 使用Validate: use think\Validate; 视图代码添加: {:token()} ajax使用: {$Request.token} 服务器端代码 function post_user_login(){ $validate = new Validate([ 'd...
thinkphp5-master源码
04-21
TP5重视安全性,提供了防SQL注入、XSS防护、CSRF防御等功能。同时,对输入数据进行过滤和验证,防止非法数据污染。 七、性能优化 框架采用单例模式、缓存策略以及路由优化等方式提升性能。此外,支持开启OPCache和...
thinkPHP5新闻管理系统
04-13
为了确保系统的安全性,开发者需要关注SQL注入、XSS攻击、CSRF等常见安全问题,并利用ThinkPHP5的安全特性如参数绑定、自动过滤和验证码机制进行防护。同时,定期备份数据库,对系统进行更新和维护,以应对潜在的...
基于thinkphp5开发的后台整合系统.rar
05-11
1. **ThinkPHP5框架核心特性**: - **MVC模式**:ThinkPHP5遵循MVC(Model-View-Controller)设计模式,将业务逻辑、数据和用户界面分离,使代码更加清晰和易于维护。 - **路由系统**:通过灵活的路由配置,可以...
thinkphp5高效安全的APP接口开发教程
12-30
1. **ThinkPHP5框架概述**:ThinkPHP5采用了更现代的设计模式和编码规范,如命名空间、依赖注入和面向对象编程,提高了代码的可读性和可维护性。它还提供了丰富的内置功能,如路由、模型、视图、控制器、数据库操作...
thinkphp5后台添加401验证
编程爱好者之家
04-12 893
我们在登录后台的时候为了后台安全往往会加401验证,thinkphp5的方法如下: 找到“/application/admin/controller/Login.php"的index()方法,在最前面加上如下语句 $user="codelovers401name";//设置你的401用户名 $pw="codelovers401pwd";//设...
ThinkPHP6项目基操(18.实战部分 表单令牌Token 防CSRF
张营的技术博客
01-02 3089
表单令牌Token0. 前言1. TP6 令牌token使用1.1 表单提交1.2 AJAX提交2. TP6 令牌token验证2.1 路由验证2.2 控制器验证2.3 验证器验证 0. 前言 表单令牌是为了防止表单重复提交,防止跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF。 1. TP6 令牌token使用 1.1 表单提交 如果使用了默认的模板引擎,可以直接使用下
Thinkphp快速入门(三)
qq_29744347的博客
04-20 374
文章目录中间件中间件创建全局中间件应用中间件路由中间件控制器中间件视图引入视图组件渲染视图模版传参viwe 辅助函数 中间件 在执行主要逻辑之前进行某些操作或之后进行某些操作 常用来登录验证,csrf验证等 中间件创建 # 中间件可以通过 php think make:middleware <middlewareName> 创建 # 不过这是创建在 app/middleware 下的 php think make:middleware stop
thinkphp5 三种重定向(跳转)
weixin_30924087的博客
06-28 1175
页面跳转 在应用开发中,经常会遇到一些带有提示信息的跳转页面,例如操作成功或者操作错误页面,并且自动跳转到另外一个目标页面。系统的\think\Controller类内置了两个跳转方法success和error,用于页面跳转提示。 使用方法很简单,举例如下: namespace app\index\controller; use think\Controller; use app\i...
tp5 生成token 验证token 解密token
张子航的博客
05-22 3565
生成Token /** * 创建 token * @param array $data 必填 自定义参数数组 * @param integer $exp_time 必填 token过期时间 单位:秒 例子:7200=2小时 * @param string $scopes 选填 token标识,请求接口的token * @return string */ public function createToken($data = "", $ex
tp 表单
weixin_45822986的博客
09-16 298
<h1>用户添加页面</h1> <form action="useradd" method="post" enctype="multipart/form-data"> {:token('__token__', 'sha1')} <p>姓名:<input type="text" name="name"></p> <p>电话:<input type="tel" name="phone">&lt
ThinkPHP中的create方法与自动令牌验证
梦空间
05-03 2786
转载自:Thinkphp中Create方法深入探究    ThinkPHP中的create方法与自动令牌验证实例教程 Thinkphp中Create方法深入探究 由于工作原因在thinkPHP的create()方法上遇到了问题,所以跟踪了create(),从而进一步探究了create()方法。 原来create()方法原来有两个参数,本文就此作简要说明,需要的朋友可以参考下
TP5框架 《防sql注入、防xss攻击》
热门推荐
涛々的技术博客
01-23 1万+
如题:tp5怎么防sql注入 xss跨站脚本攻击呢? 其实很简单,TP框架中有自带的,在 application/config.php 中有个配置选项: 框架默认没有设置任何过滤规则,你可以是配置文件中设置全局的过滤规则: // 默认全局过滤方法 用逗号分隔多个 'default_filter' =&gt; 'htmlspecialchars,addslashes,strip_tags'...
ThinkPHP5.0完整开发手册PDF版
"thinkphp5.0完全开发手册PDF" 这篇文档是关于ThinkPHP5.0框架的详尽开发指南,适用于那些希望深入了解和熟练运用ThinkPHP5.0进行Web应用程序开发的开发者。ThinkPHP5.0是基于PHP语言的一个轻量级、高性能的国产...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值