csrf防御 php,跨站请求伪造CSRF的防御实例(PHP版本)

最新推荐文章于 2021-03-25 22:44:57 发布
最新推荐文章于 2021-03-25 22:44:57 发布
阅读量85 收藏
点赞数
文章标签: csrf防御 php

跨站请求伪造CSRF的防御:One-Time Tokens(不同的表单包含一个不同的伪随机值)

在实现One-Time

Tokens时,需要注意一点:就是“并行会话的兼容”。如果用户在一个站点上同时打开了两个不同的表单,CSRF保护措施不应该影响到他对任何表单的提

交。考虑一下如果每次表单被装入时站点生成一个伪随机值来覆盖以前的伪随机值将会发生什么情况:用户只能成功地提交他最后打开的表单,因为所有其他的表单

都含有非法的伪随机值。必须小心操作以确保CSRF保护措施不会影响选项卡式的浏览或者利用多个浏览器窗口浏览一个站点。

以下我的实现:

1).先是令牌生成函数(gen_token()):

function gen_token() {

//这里我是贪方便,实际上单使用Rand()得出的随机数作为令牌,也是不安全的。

$token = md5(uniqid(rand(), true));

return $token;

}

2).然后是Session令牌生成函数(gen_stoken()):

function gen_stoken() {

$pToken = "";

if($_SESSION[STOKEN_NAME] == $pToken){

//没有值,赋新值

$_SESSION[STOKEN_NAME] = gen_token();

}

else{

//继续使用旧的值

}

}

?>

3).WEB表单生成隐藏输入域的函数:

function gen_input() {

gen_stoken();

echo “

value=\”" . $_SESSION[STOKEN_NAME] . “\”> “;

}

?>

4).WEB表单结构:

session_start();

include(”functions.php”);

?>

gen_input(); ?>

5).服务端核对令牌:

这个很简单,这里就不再啰嗦了。

上面这个其实不完全符合“并行会话的兼容”的规则,大家可以在此基础上修改。

weixin_39604092
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4655
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
CSRF
weixin_45855234的博客
06-16 210
CSRF请求伪造,跟xss攻击一样,存在巨大的危害 原理:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是 是却完成了攻击者所期盼的一个操作,比如以你的名义发送邮件,发消息,盗取你的账号,添加系统管理员账号 ,甚至购买商品,虚拟货币转账等,如:a网存在CSRF漏洞,b攻击网,c为合法用户 1.c----->a 输入用户密码 2.在用户信息通过验证之后,网a产生cookie信息并返回给浏览器,此时用户登录a 可以正常发送请求到a. 3.用户未退
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1730
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
浅谈CSRF攻击方式,原理,防范
chenpeng0708的博客
04-20 303
一.CSRF是什么? 请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟脚本(XSS)相比,XSS 利用的是用户对指定网的信任,CSRF 利用的是网对用户网页浏览器的信任...
PHP安全编程:请求伪造CSRF防御(转)
weixin_33847182的博客
07-29 186
请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,很你就很难确定哪些请求是属于请求伪造攻击。事实上,如果没有对请求伪造攻击进行特意防范的话,你的应用很有可能是有漏洞的。 请看下面一个简单的应用,它允许用户购买钢笔或铅笔。界面上包含下面的表单: 0...
CSRF请求伪造实例程序
11-07
在这个"CSRF请求伪造实例程序"中,我们将探讨如何利用PHP实现这种攻击。 首先,我们看到`conn`和`config.php`,这两个文件通常用于数据库连接和配置。在PHP中,这些文件会包含数据库服务器的地址、用户名、密码...
spring security中的csrf防御原理(请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
PHP实例开发源码-PHPCrazy 建程序.zip
10-15
8. **安全实践**:在PHP开发中,防范SQL注入、XSS脚本攻击和CSRF请求伪造等安全威胁是必须的。理解并应用预处理语句、输入验证和输出编码等方法是保证网安全的关键。 9. **错误处理与调试**:良好的错误...
PHP实例开发源码—PHP管理系统.zip
11-23
8. **安全实践**:包括防止SQL注入、XSS攻击(脚本攻击)和CSRF请求伪造)等,PHP提供了多种安全措施,如预处理语句、htmlspecialchars函数和验证码技术。 9. **OOP编程**:面向对象编程(OOP)在现代PHP...
django 取消csrf限制的实例
09-17
在Django框架中,CSRF(Cross-site request forgery,请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器中伪造请求到你的应用。然而,在某些情况下,例如前后端分离的项目或者API接口,你可能...
php 请求伪造,PHP 请求伪造及防护 (CSRF)【未完成】
weixin_39778447的博客
03-24 260
一、什么是 CSRF请求伪造(Cross-Site Request Forgery),通常缩写为 CSRF 或者 XSRF,是一种使已登录用户在不知情的情况下执行某种动作的攻击。二、CSRF请求过程CSRF在违反同源策略的情况下,攻击主要用来执行某种非法动作,而非窃取用户数据。例如,当受害者是一个普通用户时,CSRF可以实现在其不知情的情况下进行转移用户资金、发送邮件等操作。但是如果受害者是一...
CSRF防御实例PHP
angaoux03775的博客
02-23 116
CSRF防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。   1.服务端进行CSRF防御   服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。   (1).Cookie Hashing(所有表单都包含同一个伪随机值):   这可能是最简单的解决方案了,因为攻击者不能获得第三方的Co...
【ThinkPHP5初体验(二)1】CSRF防范原理(thinkphp5 CSRF ajax令牌)
jeason_L的博客
12-18 4050
CSRF是什么我就不解释了,百度一搜全是,比波姐的片源还要多,千篇一律都他么是复制粘贴。 那为什么这个令牌(token)操作可以防范CSRF呢?下面我就随便说说说错了大家不要介意。 首先我们要知道令牌是存储在session里面的,这个很重要  php代码如下 <?php namespace app\index\controller; //我直接允许域,因为伪装...
php为表单生成令牌,PHP表单令牌的使用和处理
weixin_42451850的博客
03-25 109
没有必要做你想尝试的事情.当您使用session_start()在PHP中启动会话时,您已经生成了唯一的SESSIONID.你不应该把它放在表格上.默认情况下通过Cookie处理.也不需要检查SESSIONID,再次为您处理.您负责验证用户并将其身份验证(例如,$_SESSION [‘user_id’] = $userId存储在SESSION中.如果用户注销,则使用session_destroy销...
php csrf防御怎么做,CSRF防御实例PHP) | CN-SEC 中文网
weixin_31754209的博客
03-23 121
摘要CSRF防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。CSRF防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。1.服务端进行CSRF防御服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。(1).Cookie Hashing(所有表单...
csrf防御 php,CSRF防御實例(PHP
weixin_29775951的博客
03-17 151
CSRF防御可以從服務端和客戶端兩方面着手,防御效果是從服務端着手效果比較好,現在一般的CSRF防御也都在服務端進行。1.服務端進行CSRF防御服務端的CSRF方式方法很多樣,但總的思想都是一致的,就是在客戶端頁面增加偽隨機數。(1).Cookie Hashing(所有表單都包含同一個偽隨機值):這可能是最簡單的解決方案了,因為攻擊者不能獲得第三方的Cookie(理論上),所以表單中的數據也就構...
csrf保护php,在登录表单中使用 CSRF 保护
weixin_30533109的博客
03-16 432
当使用一个登录表单时,您应该确保可以抵御 CSRF (请求伪造)。安全组件已经对 CSRF 内置支持。在这篇文章中,您将学习如何在登录表单中使用它。登录 CSRF 并不是特别知名。如果您想要知道更多详细信息,请参阅锻造登录请求。配置 CSRF 保护首先,配置安全组件来让它可以使用 CSRF 保护。安全组件需要 CSRF 令牌提供程序。您可以使用安全组件中默认的提供程序:YMAL:# app/...
php项目如何防止CSRF(攻击)
resilient的博客
11-17 476
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如:其中Web A为存在CSRF漏洞的网,Web B为攻击者构建的恶意网,User C为Web A网的合法用户。 防御CSRF攻击: 目前防御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。 (1)
详细介绍了PHP常见面试总结.docx绝对非常有帮助
最新发布
05-03
6. **安全问题**:了解SQL注入、XSS(脚本攻击)和CSRF请求伪造)的防范措施,如使用预编译语句防止SQL注入,使用htmlspecialchars等函数防止XSS,以及验证令牌防止CSRF。 7. **性能优化**:理解代码优化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值