PHP防csrf攻击

最新推荐文章于 2024-07-23 13:00:00 发布
最新推荐文章于 2024-07-23 13:00:00 发布
阅读量5.4k 收藏 1
点赞数 4
分类专栏: PHP 文章标签: CSRF PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28666081/article/details/50299809
版权

由于用户可能会从其他途径POST过来,因此我们需要防止这种情况


原理:在页面生成一个随即串并保存在token中,用于在服务器中比对


index.php temp.php  两个页面示范


index.php 页面:

<pre name="code" class="php"><?php
	session_start();
	$csrf = md5(uniqid(rand(), TRUE));  //生成token
	$_SESSION['csrf'] = $csrf;
?>
<meta charset="utf-8">
<form action="temp.php" method="post" name="form1" idf="form1">
	测试:<input type="text" name="user" id="user">
	<input type="hidden" name="csrf" id="csrf" value="<?php echo $csrf;?>">
	<input type="submit" name="submit" value="提交">
</form>


 

<span style="background-color: rgb(255, 255, 255);">
</span>
 

<span style="background-color: rgb(255, 255, 255);">
</span>
 

temp.php页面:
 

<pre name="code" class="php"><?php
session_start();
	if(isset($_POST['user']) && $_SESSION['csrf'] == $_POST['csrf']){
		echo '测试通过且 csrf:'.$_SESSION['csrf'];
	}else{
		echo '测试失败';
	}
 

 

 


                

        

        

    

  


    

      

        

            

              
                
                  Lidisam
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
phpCSRF(跨站请求伪造)的原理实现示例

				
			

			

				

					孤舟残月梦还长存的专栏
				

				

					10-13
					
					214
					
				

			

		

		

			
				
<?php
session_start();

//生成随机字符串
function randomStr($max = 16){
    $str = 'abcdefghijklmnopqrstuvwxyz'.
           '0123456789'.
           'ABCDEFJHIJKLMNOPQRSTUVWXYZ';
       
    $val = '';
    $str = str_shuffle($str);  //打乱字符串
    for($i = 0; $i 

			
		

	



                

              
                



	

		

			

				
					
什么是CSRF攻击,如何CSRF攻击

				
			

			

				

					weixin_47450807的博客
				

				

					03-02
					
					6978
					
				

			

		

		

			
				
什么是CSRF攻击,如何CSRF攻击

			
		

	



                


  
              

                


	

		

			

				
					
CSRF攻击御(写得非常好)

					
热门推荐

				
			

			

				

					认知  行动  坚持
				

				

					12-08
					
					25万+
					
				

			

		

		

			
				
转载地址:http://www.phpddt.com/reprint/csrf.html



   CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:
   攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,

			
		

	





	

		

			

				
					
前端安全系列之二:如何CSRF攻击

					
最新发布

				
			

			

				

					qq_44005305的博客
				

				

					07-23
					
					614
					
				

			

		

		

			
				
forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。

			
		

	



		

			
		



	

		

			

				
					
php中如何CSRF攻击

				
			

			

				

					rockyman1991的博客
				

				

					08-02
					
					1397
					
				

			

		

		

			
				
3.1 Cookies Hashing

第一个方案可能是解决这个问题的最简单和快捷的方案了,因为攻击者不能够获得被攻击者的Cookies内容,也就不能够构造相应的表单。

这个问题的实现方法与下面的类似。在某些登录页面我们根据当前的会话创建Cookies:

     
      
      // Cookie value
      $value = "Something

			
		

	





	

		

			

				
					
php web开发安全之csrf攻击的简单演示和范(一)

				
			

			

				

					weixin_30614587的博客
				

				

					05-06
					
					135
					
				

			

		

		

			
				
csrf攻击,即cross site request forgery跨站(域名)请求伪造,这里的forgery就是伪造的意思。网上有很多关于csrf的介绍,比如一位前辈的文章浅谈CSRF攻击方式,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打开好几个浏览器标签(或窗口),假如我们登录了一个站点A,站点A如果是通过cookie来跟踪用户的会话...

			
		

	





	

		

			

				
					
csrfphp,CSRF御實例(PHP

				
			

			

				

					weixin_29775951的博客
				

				

					03-17
					
					162
					
				

			

		

		

			
				
CSRF御可以從服務端和客戶端兩方面着手,御效果是從服務端着手效果比較好,現在一般的CSRF御也都在服務端進行。1.服務端進行CSRF御服務端的CSRF方式方法很多樣,但總的思想都是一致的,就是在客戶端頁面增加偽隨機數。(1).Cookie Hashing(所有表單都包含同一個偽隨機值):這可能是最簡單的解決方案了,因為攻擊者不能獲得第三方的Cookie(理論上),所以表單中的數據也就構...

			
		

	





	

		

			

				
					
如何CSRF攻击?

				
			

			

				

					ccyzq的博客
				

				

					03-17
					
					4353
					
				

			

		

		

			
				
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same

			
		

	





	

		

			

				
					
Laravel中CSRF攻击

				
			

			

				

					qq_54050785的博客
				

				

					04-09
					
					145
					
				

			

		

		

			
				
Laravel中CSRF攻击

			
		

	





	

		

			

				
					
网络安全初探-CSRF攻击方式&&御手段

				
			

			

				

					 LYFlied的博客
				

				

					05-19
					
					1464
					
				

			

		

		

			
				
文章目录一、CSRF二、常见的攻击类型1.GET类型的CSRF2.POST类型的CSRF3.链接类型的CSRF三、CSRF的特点四、防护策略1.同源检测Origin Header和Referer HeaderSamesite Cookie属性2.提交时要求附加本域CSRF Token双重Cookie验证
一、CSRF

CSRF(Cross-site request
forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭

			
		

	





	

		

			

				
					
PHP实现登陆表单提交CSRF及验证码

				
			

			

				

					10-20
				

			

		

		

			
				
本文主要介绍了PHP实现登陆表单提交CSRF及验证码的方法。具有很好的参考价值,下面跟着小编一起来看下吧

			
		

	





	

		

			

				
					
php csrf

				
			

			

				

					shengerjianku的专栏
				

				

					08-11
					
					462
					
				

			

		

		

			
				
session_start();  
  
class CSRF {  
    protected static $originCheck = true; //来源控制  
      
    //根据token   生成session token  
    public static function _set_Token( $key=null ) {  
        i

			
		

	





	

		

			

				
					
php如何解决csrf攻击

				
			

			

				

					janthinasnail的博客
				

				

					07-28
					
					2010
					
				

			

		

		

			
				
1、php代码直接添加token

2、cookie中设置token(如果cookie禁用就无法使用)

(说明:以上两种方案都需要刷新页面(表单提交或者使用js的location.href来刷新)来获取新的token值)

3、ajax异步请求获取token

参考:django前后端分离csrf验证的解决方法
...

			
		

	





	

		

			

				
					
csrf保护php,CSRF保护 | 基础组件 | Laravel 5.4 中文文档

				
			

			

				

					weixin_35517006的博客
				

				

					04-01
					
					197
					
				

			

		

		

			
				
CSRF保护由 学院君 创建于4年前, 最后更新于 1年前版本号 #230001 views13 likes0 collects1、简介跨站请求伪造(CSRF)是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 让应用避免遭到跨站请求伪造攻击变得简单。Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”,该令牌用于验证授权用户和发起请求者是否是同一个人...

			
		

	





	

		

			

				
					
CSRF御实例(PHP

				
			

			

				

					vm021的博客
				

				

					11-02
					
					303
					
				

			

		

		

			
				
原文连接:http://www.pythontab.com/html/2014/php_1121/923.html

  CSRF御可以从服务端和客户端两方面着手,御效果是从服务端着手效果比较好,现在一般的CSRF御也都在服务端进行。  1 服务端进


  CSRF御可以从服务端和客户端两方面着手,御效果是从服务端着手效果比较好,现在一般的CSRF御也都在服务端进行。


			
		

	





	

		

			

				
					
PHP安全 CSRF攻击  与XSS攻击

				
			

			

				

					shrimpma的专栏
				

				

					04-21
					
					1302
					
				

			

		

		

			
				
XSS攻击:



 'request' => array(
        'enableCsrfValidation' => true,
    ),

			
		

	





	

		

			

				
					
php csrf攻击,常见的CSRF攻击的原理,让我们一起来了解一下!

				
			

			

				

					weixin_39856208的博客
				

				

					03-17
					
					235
					
				

			

		

		

			
				
CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会认为这是真正的用户操作而去运行。这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。其实可以这么理解CSR...

			
		

	





	

		

			

				
					
阿里云PHP注入脚本:实战止XSS和CSRF攻击

				
			

			

				

					
				

			

		

		

			
				
本文主要介绍了一款由阿里云提供的PHP实现的止跨站...这款来自阿里云的PHP注入脚本为开发人员提供了一个简单而有效的手段来提升网站安全性,尤其是在处理用户输入时,能够有效止跨站脚本攻击和SQL注入等问题。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值