php 防跨站表单提交

最新推荐文章于 2021-04-04 23:53:27 发布
最新推荐文章于 2021-04-04 23:53:27 发布
阅读量66 收藏
点赞数
原文链接:http://www.cnblogs.com/7qin/p/10708476.html
版权

一种最优方式防跨站表单提交,用户限时token

就是生成一个随机且变换频繁加密字符串(可逆和不可逆)。放在表单中,等到表单提交后检查。

这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。

对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了。不得不重写,这很糟糕的体验。因此,TTL过期时间应可设置。

下面是一个网上的不可逆的验证方式,值的推荐:

class Token{
    CONST KEY = "your-secret-salt";
    static $ttl = 3; //$ttl表示这个随机串的有效时间(秒)
    static public function get($uid, $action = -1){
        $i = ceil(time() / self::$ttl);
        return substr(self::challenge($i . $action . $uid), -12, 10);
    }
    static public function verify($uid, $crumb, $action = -1){
        $i = ceil(time() / self::$ttl);
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
            return true;
        return false;
    }
    static private function challenge($data){ //内部私有加密函数
        return hash_hmac('md5', $data, self::KEY);
    }
}

使用:

在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性。

 <input type="hidden" name="crumb" value="<?php echo Token::get($uid)?>">

在PHP服务器接收端,这样检验。

<?php
if(Token::verify($uid, $_POST['token'])){
//按照正常流程处理表单
}else{
//校验失败,错误提示流程
}

 

摘自:http://www.vephp.com/jiaocheng/61.html

转载于:https://www.cnblogs.com/7qin/p/10708476.html

weixin_30697239
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】
10-19
PHP编程中,确保表单提交数据的安全性至关重要,因为不正确的处理可能导致SQL注入和XSS(跨站脚本)攻击。SQL注入允许攻击者通过输入恶意SQL代码来操纵数据库,而XSS攻击则可能窃取用户数据或执行恶意脚本。以下将...
PHP表单提交开发实例
03-18
PHP开发中,表单提交是一项基础且重要的功能,它允许用户通过网页向服务器传递数据。本实例将深入探讨如何利用PHP实现表单的创建、数据接收与处理。以下是一些关键知识点: 1. **HTML表单**:首先,我们需要在...
跨站提交表单详解
ja_II_ck的专栏
03-20 3672
跨站提交表单详解说明:本文原发表于《黑客X档案》2006第2期,转载请注明作者为玄猫,来自《黑客X档案》杂志,特此声明!以前的杂志中我们曾多次提到使用跨站的一个危害性巨大的应用方法-利用跨站提交表单,但是今天在邪恶八进制论坛上发现仍然有一些朋友不是很理解这种方法如何应用,这里撰写本文,详细介绍此方法的原理、适用范围以及使用过程,并对其中设计到的技术要点逐一做分析。我想跨站的原理以及其表现大家都非常
PHP防止外表单跨站提交的几种办法详解
Sunny
06-27 1886
http://www.vephp.com/jiaocheng/61.html在众多功击手段中,有一种是功击者自己伪造了一个和你网一样的表单,然后在他自己内或别处,向你的网提交。这种跨站和XSS不一样,是为了提交表单数据到你的网,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用2、加密令牌:很多CMS会用到这个方式,就是生成一个随机串,比如V...
ASP.NET 安全认证——巧妙实现 Form 表单认证跨站点、跨服务器的单点登录
Aji.yang的专栏
12-29 1212
ASP.NET 安全认证(四)——巧妙实现 Form 表单认证跨站点、跨服务器的单点登录(Single Sign On) 作者:寒羽枫(cityhunter172) 第四部分 Form 认证的补充  前三篇在 CSDN 论坛公布后,效果如同“神仙放屁——果然不同凡(反)响”。为感谢广大网友的热情与支持,这不,经过这一阵子的酝酿、修炼,特意准备了这第四响。 之前我们讲述的使用 For
php防止跨站表单,防止form表单重复提交和防跨请求攻击
weixin_32005771的博客
03-22 94
利用php随机函数生成一个随机码,然后写入到session,在form表单中放置这个随机码,提交的时候进行并对,如果两个值不一致,就是重复提交或非法请求了,当页面刷新后又生成一个新的随机码,再比对。//表单页面session_start();$s_code = md5(mt_rand(0,10000000));$_SESSION['s_code']=$s_code;?>//表单处理页面$c_...
php跨站伪造提交,防跨提交和PHP伪造来源referer地址的方法
weixin_30591519的博客
04-04 271
防跨提交和PHP伪造来源referer地址的方法》要点:本文介绍了防跨提交和PHP伪造来源referer地址的方法,希望对您有用。如果有疑问,可以联系我们。相关主题:PHP安全如今网络上十分流行论坛自动发帖机,自动顶贴机等,给众多论坛网带来了大量的垃圾信息,许多网只是简单地采用了判断HTTP_REFERER的值来进行过滤机器发帖,可是网页的HTTP_REFERER来路信息是可以被伪造的。...
php 防伪造表单,PHP防止跨站表单提交与同跨页伪造表单的攻击
weixin_39841572的博客
03-11 93
在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个点,这样可以防止普通的攻击,ereg("blog.qita.in",$_SERVER['HTTP_REFERER'])不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: blog.qita.in"); 或者在恶意脚本中伪造HTTP头由于HTTP Referer是由客户端浏览器发送的,而不...
php7 防跨,安全:PHP防止外表单跨站提交的几种办法详解
weixin_39966020的博客
03-19 105
在众多功击手段中,有一种是功击者自己伪造了一个和你网一样的表单,然后在他自己内或别处,向你的网提交。这种跨站和XSS不一样,是为了提交表单数据到你的网,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用$referer=isset($_SERVER['HTTP_REFERER'])?$_SERVER['HTTP_REFERER']:...
php表单提交程序的安全使用方法第1/2页
10-30
PHP中,表单提交是网与用户交互的重要方式,但是如果不采取安全措施,可能会导致各种安全问题,如SQL注入、跨站脚本攻击(XSS)等。以下是对标题和描述中提到的PHP表单提交程序的安全使用方法的详细解释: 1. **...
PHP使用token防止表单重复提交的方法
12-17
1. 为了安全起见,除了使用 token 防止重复提交,还可以结合其他验证机制,如 CSRF(跨站请求伪造)防护。 2. 生成的 token 应该是一次性的,即每次提交后都需要更新 session 中的 token 值,防止用户回退页面后再次...
php 跨站脚本攻击防御,跨站脚本攻击(XSS)的原理、防范和处理方法
weixin_39989688的博客
03-10 588
0。关键字:XSS,跨站脚本攻击,原理分析,攻击方式,防范,检查,恶意代码,蠕虫1。概念以下概念摘抄自百度百科:XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。2。生效方式1)构造URLXSS攻击者通过构造URL的方式构造了一...
跨站点请求伪造 CSRF攻击
热门推荐
neusoft-mengxiaoming的专栏
07-26 1万+
跨站点请求伪造 严重性: 中 CVSS 分数: 6.4 URL: http://127.0.0.1/test/enterapp.do 实体: enterapp.do (Page) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务 原因: 应用程序使用的认证方法不充分 固定值: 验证“Referer”头的值,并对每...
飞机大战系列 Space War1.0(免费,开源)
最新发布
07-14
飞机大战系列 Space War1.0(免费,开源)
基于Hadoop的文件词频统计的实现(大数据技术课程设计)
07-14
使用Hadoop大数据架构体系中的HDFS、HBase以及Spark软件,完成大数据处理的典型案例:文件词频统计的实现。
php form表单提交
05-29
PHP 提交表单数据需要以下步骤: 1. 创建一个表单 HTML 页面,并在表单中指定提交的 PHP 文件。 ```html <form action="submit.php" method="post"> 姓名: <input type="text" id="name" name="name"><br> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值