php中token作用原理,csrf_token简单原理实现

最新推荐文章于 2023-09-08 15:12:25 发布
最新推荐文章于 2023-09-08 15:12:25 发布
阅读量960 收藏 2
点赞数
文章标签: php中token作用原理

我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。

按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:

Token只要足够随机————这样不可预测

Token是一次性的,即每次请求成功后要更新Token————这样可以增加攻击难度,增加预测难度,尤其是限制了要刷新页面,也就限制了伪造者的难度。

以下这是一个简单的csrf_token函数

//每次请求的时候就进行获取csrf_token

function csrf_token() {

$token = md5(time().uniqid(rand(100,99999), true));

$time = time();

$_SESSION['csrf_token']['token'] = $token;

$_SESSION['csrf_token']['time'] = $time;

}

//每次提交请求的时候就验证token

function check_csrf_token($expire = 120) {

if($_POST['_token'] != $_SESSION['csrf_token']['token']){

return false;

}

if(time()-$_SESSION['csrf_token']['time'] > $expire){

return false;

}

unset($_SESSION['csrf_token']);

return true;

}

而在Laravel中的实现就是,再有需要的地方,也就是路由上进行继承一个过滤器,然后每次提交请求的时候,会自动优先验证过滤器,过滤器如图:

84d040b4f225e527ed3128083bff668b.png

Madmoiselle.may
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Laravel 5.8 :基础组件 —— CSRF 保护
欢迎交流PHP和前端知识QQ:634487911
05-28 968
1、什么是CSRF攻击 可以理解为两个域名之间不能跨过域名来发送请求或者请求数据,否则就是不安全的,这种不安全也就是CSRF(Cross-site request forgery),文名称:跨站请求伪造。 laravel 框架为避免CSRF攻击,为每个 用户session生成一个CSRF token,该token用于验证登录用户和发起请求用户是否为同一个人。 laravel提供了一个...
laravelcsrf token 的了解及使用
weixin_30435261的博客
10-24 321
之前在项目因为没有弄清楚csrf token的使用,导致发请求的话,一直请求失败,今天就一起来看一下csrf的一些东西。 1.Cross-site request forgery 跨站请求伪造,也被称为 “one click attack” 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。CSRF 则通过伪装来自受信任用户的请求来利用受信任的...
laravelcsrf 防御机制详解,form csrf_token() 的存在
Jesse
06-17 1万+
一、 什么是 CSRF ? CSRF是Cross Site Request Forgery的缩写,看起来和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。具体操作原理看google。。二、LaravelCSRF防御过程 Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(t
PHP如何token验证,手把手教学
weixin_41733299的博客
07-09 3818
讲解如何php获取前端的token
phptoken详解
热门推荐
qq_36663951的博客
06-10 2万+
接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有间用户的授权过程; 3、有点接口需要用户登录才能访问; 4、有点接口不需要用户登录就可访问; PHP Token(令牌) 针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。 第一个token是针对接口的(api
PHP多参数token生成与校验
一个人的Code博客
04-26 2251
1、密钥设置 public $secret_key = 'hgakdfkljalfdjlk';//私钥 2、调用方式 $info = ['user_id' => 1]; //生成密钥 $this->CreateToken( $info , 60 ); //校验密钥 $this->CheckToken($token); 3、基础方法 /** *功能:生成token *参数一:需要解密的密文 *参数二:密钥 */ funct
php添加 csrf,PHP添加csrf token的注意点
weixin_39926014的博客
03-12 447
PHP添加csrf token的注意点首先不建议使用rand(),unique()来生成,如$token = md5(uniqid(rand(), TRUE));这是因为rand()函数产生的随机字符串是可以预测的。runiqid()和md5()增加的复杂度不高。产生tokenPHP 7session_start();if (empty($_SESSION['token'])) {$_SESSIO...
laravelcsrf 防御机制详解,及formcsrf_token()的存在介绍
10-16
laravelcsrf 防御机制详解,及对laravelcsrf 防御机制详解,及formcsrf_token()的存在介绍,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
安全开发 | 如何让Django框架CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
在django使用post方法时,需要增加csrftoken的例子
12-20
从百度查到在django,使用post方法时,需要先生成随机码,以防止CSRF(Cross-site request forgery)跨站请求伪造,并稍加修改: ... headers: { "X-CSRFToken": getCookie("csrftoken") } }); }); /
PHP表单token验证防CSRF攻击
php-yyds
09-08 725
检查该token是否有效,如果无效则拒绝处理该请求。生成表单token的方法可以使用PHP的内置函数。当表单提交时,将该token随表单数据一起发送到服务器端。服务器端在接收到表单数据后,在PHP,表单token是一种安全机制,用于防止跨站请求伪造(CSRF)攻击。表单token原理是在表单生成一个随机的token,并将其存储在服务器端。CSRF攻击是一种利用用户身份在未经授权的情况下执行非法操作的攻击方式。
php token生成规则_php如何设置 token
weixin_32019949的博客
01-17 624
php设置token的方法:首先定义获取Token的路由路径;然后建立Service层;接着在Model层里建立User类,并在验证器类和异常类创建相应的验证方法和异常处理;最后完成Token令牌的编写即可。我们开发的后端API接口会对访问者有一个权限要求,比如一些包含私人信息的接口,就需要访问者请求接口的同时,传递一个提前已经发放给访问者的Token。这就像一个令牌一样,只有访问者展示出来我们才...
PHP token生成与校验
chengjianghao的博客
05-17 1624
【代码】PHP token生成与校验。
php实现token验证,PHP如何实现Token验证
weixin_36298146的博客
03-10 3204
PHP如何实现Token验证首先将Token进行解析;然后根据解析出来的信息部分验证是否过期,如果未过期再将解析出的信息部分进行加密;最后将加密出来的数据和解析出来签名进行比对,如果相同则验证成功。示例代码:...
php间件1009无标题,phpLaravel CSRF间件未检查X-CSRF-TOKEN请求标头
weixin_36307086的博客
03-28 206
间件:use Closure;use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;class VerifyCsrfToken extends BaseVerifier {public function handle($request, Closure $next){return parent::han...
ThinkPHP6项目基操(18.实战部分 表单令牌TokenCSRF
张营的技术博客
01-02 2980
表单令牌Token0. 前言1. TP6 令牌token使用1.1 表单提交1.2 AJAX提交2. TP6 令牌token验证2.1 路由验证2.2 控制器验证2.3 验证器验证 0. 前言 表单令牌是为了防止表单重复提交,防止跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF。 1. TP6 令牌token使用 1.1 表单提交 如果使用了默认的模板引擎,可以直接使用下
高分项目 基于STM32F103单片机的无线测距系统源代码+项目资料齐全+教程文档.zip
最新发布
05-08
【资源概览】 高分项目 基于STM32F103单片机的无线测距系统源代码+项目资料齐全+教程文档.zip高分项目 基于STM32F103单片机的无线测距系统源代码+项目资料齐全+教程文档.zip高分项目 基于STM32F103单片机的无线测距系统源代码+项目资料齐全+教程文档.zip 【资源说明】 高分项目源码:此资源是在校高分项目的完整源代码,经过导师的悉心指导与认可,答辩评审得分高达95分,项目的质量与深度有保障。 测试运行成功:所有的项目代码在上传前都经过了严格的测试,确保在功能上完全符合预期,您可以放心下载并使用。 适用人群广泛:该项目不仅适合计算机相关专业(如电子信息、物联网、通信工程、自动化等)的在校学生和老师,还可以作为毕业设计、课程设计、作业或项目初期立项的演示材料。对于希望进阶学习的小白来说,同样是一个极佳的学习资源。 代码灵活性高:如果您具备一定的编程基础,可以在此代码基础上进行个性化的修改,以实现更多功能。当然,直接用于毕业设计、课程设计或作业也是完全可行的。 欢迎下载,与我一起交流学习,共同进步!
YII_CSRF_TOKEN
04-05
在Yii框架,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的有效性,可以有效地防止CSRF攻击。 在Yii框架,有两种方式可以获取YII_CSRF_TOKEN令牌: 1. 自动获取YII_CSRF_TOKEN令牌[^1]: 在主配置文件进行简单的配置,启用Yii的CSRF验证功能。在components的request配置,将enableCsrfValidation设置为true。这样,在每个表单提交时,Yii框架会自动添加一个隐藏字段YII_CSRF_TOKEN,并验证该令牌的有效性。 2. 手动获取YII_CSRF_TOKEN令牌: 如果你自己编写的表单没有使用Yii的表单助手(Form Helper),你需要手动添加一个隐藏字段YII_CSRF_TOKEN。你可以使用Yii的getRequest()方法获取YII_CSRF_TOKEN的值,并将其作为隐藏字段的值。 下面是一个手动添加隐藏字段YII_CSRF_TOKEN的例子: ```php <input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" /> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值