PHP防止站外表单跨站提交的几种办法详解

最新推荐文章于 2021-03-29 16:48:18 发布
最新推荐文章于 2021-03-29 16:48:18 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: php基础

http://www.vephp.com/jiaocheng/61.html

在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。

这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。

对于这类的功击,有几种方式:

1、传统的浅层阻止:这个是最常用的。但是其实根本没用


2、加密令牌:

很多CMS会用到这个方式,就是生成一个随机串,比如VEPHP , 然后随表单生成一个隐藏域<input type="hidden" value="vephp" name="chk" /> 并把这个值保存到服务器的SESSION上。

等到用户提交后,检查这个表单值和SESSION对比,不符就阻止。

不过,这个方式如果用户多的话,会造成大量的SESSION,消耗服务器资源。不推荐。一种优化的方式是把这个口令放在CACHE系统中,但是因为缓存会不定时清除,所以也有问题。


3、加密方式:

推荐这种方式:分为单向加密和可逆向加密。

就是生成一个随机且变换频繁加密字符串(可逆和不可逆)。跟方式2一样放在表单中。等到表单提交后检查。

这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。

对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了。不得不重写,这很糟糕的体验。因此,TTL过期时间应可设置。

下面是一个网上的不可逆的验证方式,值的推荐:


使用:

在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性。


在PHP服务器接收端,这样检验。默认下这个字串的有效期是7200秒。


上面这种是不可逆的加密,

有时,我们还希望在表单中加入私密数据,跟随用户表单加密串一直生成,在前端不被用户看到,这样就可以用到可解密的函数,生成的字串在PHP端解密,起到2个作用:

1、得到私密数据。

2、验证表单来源的合法性。


sisophon
关注
专栏目录
Arthas 使用详解
congge
10-11 1万+
Arthas 使用详解
计算机编程种常见的几种编码详解
菜鸟的后花园
10-31 9677
计算机编程种常见的几种编码详解 其实计算机编程离不开编码 但是大多数都不能真正全面了解各种编码 今天就来好好和几位编码熟悉熟悉 一、字符、字符集和字符编码方式 字符:字符是抽象的最小文本单位。它没有固定的形状(可能是一个字形),而且没有值。“A”是一个字符,“€”(德国、法国和许多其他欧洲国家通用货币的标志)也是一个字符。“中”“国”这是两个汉字字符。字符仅仅代表一个符号。 字符集:也就...
php外部表单提交,php防止站外远程提交表单的方法,php提交表单
weixin_42514949的博客
03-09 188
php防止站外远程提交表单的方法,php提交表单本文实例讲述了php防止站外远程提交表单的方法,分享给大家供大家参考。具体实现方法如下:一般来说防止站长提交表单无非就是对每一次打开表单提交数据都会需要加一个token来进行验证了,这个其实与验证码做法没什么两样了,下面来看几个防止站外远程提交表单的例子。例子一:我们每一次打开提交页面生成一个token然后保存在session中,当表单提交时我们来...
PHP程序如何防止站外提交数据
wasabi ~编码 测试 倾听 设计!
03-13 319
[code="html"] $servername=$HTTP_SERVER_VARS[SERVER_NAME]; $sub_from=$HTTP_SERVER_VARS["HTTP_REFERER"]; $sub_len=strlen($servername); $checkfrom=substr($sub_from,7,$sub_len); if($checkfrom!=$serve...
php 安全控制防止外部提交,php防注入,php中过滤一切提交数据, 安全控制防止外部提交...
weixin_33389398的博客
03-29 277
规则 1:绝不要信任外部数据或输入关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。例如,下面的数据元素可以被认为是安全的,因为它们是在 ...
php防止表单模拟提交数据,PHP_php防止站外远程提交表单的方法,本文实例讲述了php防止站外远 - phpStudy...
weixin_36073654的博客
03-10 233
php防止站外远程提交表单的方法本文实例讲述了php防止站外远程提交表单的方法,分享给大家供大家参考。具体实现方法如下:一般来说防止站长提交表单无非就是对每一次打开表单提交数据都会需要加一个token来进行验证了,这个其实与验证码做法没什么两样了,下面来看几个防止站外远程提交表单的例子。例子一:我们每一次打开提交页面生成一个token然后保存在session中,当表单提交时我们来判断当前的tok...
SL651-2014 《水文监测数据通信规约》 中心站查询遥测站实时数据详解
A__wood的博客
03-20 4462
 SL651-2014 《水文监测数据通信规约》中心站查询遥测站实时数据详解全国水文标准化技术委员会水文仪器分技术委员会为适应我国水文仪器标准化工作的迅速发展,对用来监测河流、水库等水情的水文遥测终端RTU的数据通信制定了SL651-2014《水文监测数据通信规约》,本文将以蓝普lanpu-1802型水文遥测终端RTU为例,详细介绍SL651-2014《水文监测数据通信规约》要求的,中心站查询遥测...
python遍历列表的三种方法_Python 列表(List) 的三种遍历方法实例 详解
热门推荐
weixin_30487899的博客
02-21 1万+
Python 列表(List) 的三种遍历方法实例 详解发布于 2017-06-22 21:25:11 | 181 次阅读 | 评论: 0 | 来源: 网友投递Python编程语言Python 是一种面向对象、解释型计算机程序设计语言,由Guido van Rossum于1989年底发明,第一个公开发行版发行于1991年。Python语法简洁而清晰,具有丰富和强大的类库。它常被昵称为胶水语言,它能...
如何防止站外提交数据
刻苦与奋斗
07-20 3057
如何防止站外提交数据?从理论上说是没有绝对可行的办法。如果你要找绝对可行的办法。请跳过此文,此文只是提高站外提交的难度。一、为什么要防止站外提交数据?1、有的人为了减轻对服务器的压力,把对用户输入的数据的有效性判断放在了JS里,而从站外提交时,数据没有进行有效性判断。(其实这种方
php程序防止外部页面提交表单,php防止站外远程提交表单的方法
weixin_35562751的博客
03-25 334
php防止站外远程提交表单的方法发布于 2014-10-25 20:56:44 | 142 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为php...
php防止仿站,安全:PHP防止站外表单跨站提交几种办法详解
weixin_32823555的博客
03-20 214
《安全:PHP防止站外表单跨站提交几种办法详解》要点:本文介绍了安全:PHP防止站外表单跨站提交几种办法详解,希望对您有用。如果有疑问,可以联系我们。在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是...
PHP防止跨站表单提交与同站跨页伪造表单的攻击
weixin_33910759的博客
11-01 74
2019独角兽企业重金招聘Python工程师标准>>> ...
php 接口 防跨站,php开发中可以防跨站请求的几种方法
weixin_42573113的博客
03-11 279
方式1在nginx的php配置中或是在包括的includefastcgi.conf文档中添加:fastcgi_paramPHP_VALUE”open_basedir=$document_root:/tmp/”;方式2在php.ini中配备open_basedir选择项open_basedir=/home/www/www.aaa.com:/home/www/www.bbb.com:/tmp/:/pr...
php防止远程提交,PHP如何防止远程提交
weixin_42491621的博客
03-10 306
一般来说,防止站外提交表单,无非就是对每一次打开表单提交数据,都会需要加一个token来进行验证。这个其实与验证码做法没什么两样,下面来看几个防止站外远程提交表单的例子。例子一:我们每一次打开提交页面生成一个token,然后,保存在session中,当表单提交时,我们来判断当前的token值与session是否一致,如果是的,就是正常提交,否则,就是无效提交了。具体代码如下:...
php阻止form提交表单提交,防止表单提交时刷新页面-阻止form表单的默认提交行为...
weixin_36209301的博客
03-26 632
最近在写 ajax 提交的时候遇到一个问题,在执行 ajax 提交之后,浏览器页面自动刷新了,主要是没有 由于form 表单的默认提交行为。一下是几种阻止 form 表单默认提交行为的方式。1.使用button 按钮提交表单的时候,要设置type="button" button在浏览器中默认的类型为submit;2.使用input 代替button ,设置type="button"3.event....
php7 防跨站,安全:PHP防止站外表单跨站提交几种办法详解
weixin_39966020的博客
03-19 128
在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用$referer=isset($_SERVER['HTTP_REFERER'])?$_SERVER['HTTP_REFERER']:...
php防止csrf /文件上传/xfs漏洞/非web接口安全/sql注入
qq_35772366的博客
08-03 3099
csrf是一种通过有权限用户在不知情的情况下点开了黑客的链接,黑客通过譔用户的权限进行一系利用户不知情的操作。 一般都是提交form表单。 在我不知道csrf以前,我判段用户是否登录都是在session存一个标识符,程序进行操作时都会判段此标识符是否存在。可是对csrf这个东西来说我这个安全措施是不存在的,想一想,用户的session是靠什么来进行区分的,靠的是存在cookie中的session
PHP防止非法访问
Ai_Xiao_De_Gou的博客
11-15 927
在用户访问页面时,不一定按照正常的规则来访问,而是进行一些非法访问,为此我们需要禁止非法访问。 我学会了两种禁止非法访问的方法↓↓↓ 1.empty if(empty($_POST)){ die('非法访问'); } 判断如果从HTML文件接收信息的$_POST数组是空数组,则进入执行体,die停止脚本运行并输出“非法访问”。 2.isset if(!isset(...
Leica全站仪FlexOffice入门与数据传输详解
本篇教程详细介绍了如何使用Leica全站仪与FlexOffice进行高效的数据传输与管理。首先,准备工作至关重要,包括安装Leica的驱动程序,如TS02、06、09x32,以及确保数据线(GEV189)被电脑识别。在设备管理器中,确认...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值