php7 防跨站,安全:PHP防止站外表单跨站提交的几种办法详解

最新推荐文章于 2021-11-24 08:14:55 发布
最新推荐文章于 2021-11-24 08:14:55 发布
阅读量105 收藏
点赞数
文章标签: php7 防跨站

在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。

这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。

对于这类的功击,有几种方式:

1、传统的浅层阻止:这个是最常用的。但是其实根本没用

$referer = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : NULL;$host = $_SERVER['HTTP_HOST'];echo '提交过来的地址:'.$referer;echo '
本站域名:'.$host; echo substr($referer,7,strlen($host));if(substr($referer,7,strlen($host)) != $host){       echo '非法操作';}else{       echo '正常操作';}

因为REFERER可以伪造。所以没有意义。

2、加密令牌:

很多CMS会用到这个方式,就是生成一个随机串,比如VEPHP , 然后随表单生成一个隐藏域 并把这个值保存到服务器的SESSION上。

等到用户提交后,检查这个表单值和SESSION对比,不符就阻止。

不过,这个方式如果用户多的话,会造成大量的SESSION,消耗服务器资源。不推荐。一种优化的方式是把这个口令放在CACHE系统中,但是因为缓存会不定时清除,所以也有问题。

3、加密方式:

推荐这种方式:分为单向加密和可逆向加密。

就是生成一个随机且变换频繁加密字符串(可逆和不可逆)。跟方式2一样放在表单中。等到表单提交后检查。

这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。

对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了。不得不重写,这很糟糕的体验。因此,TTL过期时间应可设置。

下面是一个网上的不可逆的验证方式,值的推荐:

class Crumb {       CONST SALT = "http://www.vephp.com";       static $ttl = 7200;   #很重要,不要太短,看表单用途修改issueCrumb()过期时间        /** 生成加密串,可以添加到表单中        * @param $uid  用户ID        * @param int $action        * @return bool|string        */       static public function issueCrumb($uid, $ttl=7200, $action = -1) {              if(intval($ttl)>7200) self::$ttl = $ttl;              $i = ceil(time() / self::$ttl);              return substr(self::challenge($i . $action . $uid), -12, 10);       }        /** 解密        * @param $uid        * @param $crumb  加密时 Crumb::issueCrumb($uid)生成的字串。        * @param int $action        * @return bool        */       static public function verifyCrumb($uid, $crumb, $action = -1) {              $i = ceil(time() / self::$ttl);               if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||                     substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)                     return true;              return false;       }        //内用       static public function challenge($data) {              return hash_hmac('md5', $data, self::SALT);       }}

使用:

在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性。

">

在PHP服务器接收端,这样检验。默认下这个字串的有效期是7200秒。

上面这种是不可逆的加密,

有时,我们还希望在表单中加入私密数据,跟随用户表单加密串一直生成,在前端不被用户看到,这样就可以用到可解密的函数,生成的字串在PHP端解密,起到2个作用:

1、得到私密数据。

2、验证表单来源的合法性。

我推荐可逆的加密方式。

转载请注明本页网址:

http://www.vephp.com/jiaocheng/61.html

weixin_39966020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php防止表单模拟提交数据,PHP_php防止站外远程提交表单的方法,本文实例讲述了php防止站外远 - phpStudy...
weixin_36073654的博客
03-10 229
php防止站外远程提交表单的方法本文实例讲述了php防止站外远程提交表单的方法,分享给大家供大家参考。具体实现方法如下:一般来说防止提交表单无非就是对每一次打开表单提交数据都会需要加一个token来进行验证了,这个其实与验证码做法没什么两样了,下面来看几个防止站外远程提交表单的例子。例子一:我们每一次打开提交页面生成一个token然后保存在session中,当表单提交时我们来判断当前的tok...
如何防止站外提交数据
刻苦与奋斗
07-20 3042
如何防止站外提交数据?从理论上说是没有绝对可行的办法。如果你要找绝对可行的办法。请跳过此文,此文只是提高站外提交的难度。一、为什么要防止站外提交数据?1、有的人为了减轻对服务器的压力,把对用户输入的数据的有效性判断放在了JS里,而从站外提交时,数据没有进行有效性判断。(其实这种方
php防止跨域提交,PHP防止跨域提交表单的简单示例
weixin_28738165的博客
03-10 181
这篇文章主要为大家详细介绍了PHP防止跨域提交表单的简单示例,具有一定的参考价值,可以用来参考一下。感兴趣的小伙伴,下面一起跟随512笔记的小玲来看看吧!在写用户注册的时候,一定要主要你的表单是否可以跨域提交.php中解决的方法:1.除了在页面做好表但验证之外,还要在提交的服务段的数据进行验证。验证的主要代码如下:代码如下:$servername=$_SERVER['SERVER_NAME'];/...
php防止远程提交,php防止站外远程提交表单的方法
weixin_42376589的博客
03-10 112
本文实例讲述了php防止站外远程提交表单的方法,分享给大家供大家参考。具体实现方法如下:一般来说防止提交表单无非就是对每一次打开表单提交数据都会需要加一个token来进行验证了,这个其实与验证码做法没什么两样了,下面来看几个防止站外远程提交表单的例子。例子一:我们每一次打开提交页面生成一个token然后保存在session中,当表单提交时我们来判断当前的token值与session是否一致,...
php防跨攻击.user.ini批量生成
乔永刚的博客
11-25 853
#!/bin/bash path='/home/wwwroot/www' for file in `ls $path` do touch .user.ini echo "open_basedir=$path/$file/:/tmp/:/proc/" > $path/$file/.user.ini chattr +i $path/$file/.user.ini done ...
跨站脚本执行漏洞详解与防护
01-20
本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该...
php几种常见安全设置详解
10-29
1. **启用安全模式**:安全模式是一种内置的安全机制,它可以限制某些函数的使用,如`system()`,并对文件操作施加权限控制。默认情况下,安全模式可能是关闭的,需要在php.ini中将其开启:`safe_mode = on`。 2. *...
PHP清除缓存的几种方法总结
10-19
主要介绍了PHP清除缓存的几种方法总结的相关资料,希望通过本文大家能够掌握清除缓存的方法,需要的朋友可以参考下
php防注入,表单提交值转义的实现详解
10-27
SQL注入是一种常见的攻击方式,攻击者通过在表单提交的数据中插入恶意的SQL代码,以达到非法获取、修改或删除数据库信息的目的。为了防止这种情况,我们需要对用户输入的数据进行转义处理。本文将详细探讨如何在PHP...
php获取POST数据的三种方法实例详解
10-20
本文介绍php获取POST数据的三种方法,第一种方法是$_POST,第二种方法是使用file_get_contents,第三种方法是使用全局变量$GLOBALS, 具体请看下面说明
PHP防止站外表单跨站提交几种办法详解
Sunny
06-27 1886
http://www.vephp.com/jiaocheng/61.html在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己内或别处,向你的网站提交。这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用2、加密令牌:很多CMS会用到这个方式,就是生成一个随机串,比如V...
php 表单提交token,PHP表单增加token验证,防止站外及重复提交
weixin_29119159的博客
03-11 297
token用于常用的表单防止重复提交站外提交的一个常用的处理方式了,下文我们一起来看一个PHP表单增加token验证,防止站外及重复提交例子。原理在于生成一个随机字符串放在session里。提交表单后来验证这个字符串。可以做到防止他人自己写form来欺骗提交,重复提交或者双击提交。Token.php/** Created on 2013-3-25** To change the template...
php 防伪造表单,PHP防止跨站表单提交与同跨页伪造表单的攻击
weixin_36261487的博客
03-11 117
在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个点,这样可以防止普通的攻击,ereg("blog.qita.in",$_SERVER['HTTP_REFERER'])不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: blog.qita.in"); 或者在恶意脚本中伪造HTTP头由于HTTP Referer是由客户端浏览器发送的,而不...
ajax 防止用户反复提交
a892886597的专栏
07-17 635
可在服务器端加载方法: private void OnLoading() { System.Text.StringBuilder sb = new System.Text.StringBuilder(); sb.Append(" function pageLoad(){var manager = Sys.WebForms.PageRequestManager.getInstance();
防止站外提交
weixin_34088598的博客
12-06 126
string servername = Request.ServerVariables["SERVER_NAME"];string referer = Request.ServerVariables["HTTP_REFERER"];Uri uri = new Uri(referer);if (servername != uri.Host){ throw new ...
怎么防止跨站请求伪造攻击(CSRF)?
Learn-anything.cn
11-24 1388
一、CSRF 是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 二、实际攻击场景 下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。 1、登录账号 正常登录了一家银行网站,查看其后台信息后,没有退出登录; 假设这家银行操作转账的 URL
php允许跨域访问
第7维度 - 日常笔记
07-10 3344
// 指定允许其他域名访问  header('Access-Control-Allow-Origin:*');  // 响应头设置  header('Access-Control-Allow-Headers:x-requested-with,content-type'); 
xss跨站脚本攻击-运维安全详细笔记
最新发布
06-30
XSS(Cross-site scripting)跨站脚本攻击是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证和过滤用户输入的情况。攻击者通过在网页上注入恶意脚本,使得其他用户在浏览含有这些脚本的页面时,会执行攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值