php每次请求制造一个token,php csrf问题,一个请求生成一个csrf key token,但是界面用了两个POST?汗血宝马...

最新推荐文章于 2023-02-19 22:50:40 发布
最新推荐文章于 2023-02-19 22:50:40 发布
阅读量238 收藏
点赞数
文章标签: php每次请求制造一个token

bVISG0?w=380&h=348

登录和注册放在一起了,但是一个请求只有一份csrf的key和token,这里会有两个POST,那这个怎么办呢?

我想到的是,分开或者一个成功后刷新页面

没关系的呀,审核的csrf_token 都是session给的,我懂了,您的

csrf_token

是 放表单里的对吧,您可以放在

meta

标签里呀,通过

ajax

提交表单。或者甩在

form

外面每次异步提交就无所谓了,渲染视图的时候放在

meta

标签里或者丢出去,异步提交的时候抓回来丢到后端就可以了

$.request('post','/reg',{});

$.extend({

/**

* $.ajax请求的封装

*

* @usage return $.request("post", url, {}).done(function(responce) {}).fail(function() {});

* @usage return $.request("post", url, null).then(function(responce) {});

*

* @param {[type]} method   [POST/GET]

* @param {[type]} url      [请求URL]

* @param {[type]} data     [传递的数据]

* @param {[type]} userOpts [自定义参数: {headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')}}]

*

* @return {[type]} [description]

*/

request: function(method, url, data, userOpts) {

var defer, options;

defer = $.Deferred();

options = $.extend({

method: method,

url: url,

dataType: "json",

async: false,

data: data,

timeout: 3000,

cache: false,

headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') ? $('meta[name="csrf-token"]').attr('content') : ''},

beforeSend: function(msg) {

// 发送前的调试

}

}, userOpts);

$.ajax(options).done(function(data, textStatus, jqXHR) {

//return defer[(data.error ? "reject" : "resolve")](data);

return defer[(data.error ? "reject" : "resolve")](eval(data));

}).fail(function(jqXHR) {

window._hmt && window._hmt.push(['_trackEvent', 'AJAX_REQUEST_ERROR', 'error']);

return defer.reject();

});

return defer.promise();

}

});

后者靠谱。。。

这两个表单各自的隐藏域可以使用同一个csrf_token.

提交表单操作后,服务器端拿

$_POST['csrf_token']

$_COOKIE['csrf_token']

$_SESSION['csrf_token']

比对,一致则是合法提交.

表单隐藏域里的csrf_token

cookie或session里的csrf_token

都是随页面成对随机生成的.

因为其他人猜不到你的

$_COOKIE['csrf_token']

$_SESSION['csrf_token']

,所以能够防御请求伪造.

樊康康
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php接收自定义header_php获取自定义header里的参数
weixin_42116713的博客
03-08 1218
前端请求jsangular.module('MyApp', []).controller('MainCtrl', function ($scope, $http) {// 请求的方法$scope.request = function () {$http.post(url,// 请求的数据报文{"Mobile": "182****1642"...
解决Laravel 5.5 header['X-CSRF-TOKEN','Authorization']请求问题
Stein的博客
01-04 6617
1、解决 "CSRF-TOKEN",需要在主模板里更改: In header name="csrf-token" content="{{ csrf_token() }}" /> 2、解决 "X-CSRF-TOKEN",需要在主模板里更改: In header name="csrf-token" content="{{ csrf_token() }}" /> In
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Laravel(在前后端分离时,存在跨域时)的api(只在post请求时)如何验证X-CSRF-TOKEN
fyonecon
11-05 3476
参考1:https://segmentfault.com/q/1010000003038534《aravel 在做api接口的时候如何验证 X-CSRF-TOKEN》 参考2:https://laravel-china.org/docs/laravel/5.4/csrf/1228#CSRF- 《Laravel 下的伪造跨站请求保护 CSRF》 Laravel版本:55 写api时...
ThinkPHP6项目基操(18.实战部分 表单令牌TokenCSRF
张营的技术博客
01-02 3021
表单令牌Token0. 前言1. TP6 令牌token使用1.1 表单提交1.2 AJAX提交2. TP6 令牌token验证2.1 路由验证2.2 控制器验证2.3 验证器验证 0. 前言 表单令牌是为了防止表单重复提交,防止跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF。 1. TP6 令牌token使用 1.1 表单提交 如果使用了默认的模板引擎,可以直接使用下
php添加 csrf,PHP添加csrf token的注意点
weixin_39926014的博客
03-12 449
PHP添加csrf token的注意点首先不建议使用rand(),unique()来生成,如$token = md5(uniqid(rand(), TRUE));这是因为rand()函数产生的随机字符串是可以预测的。runiqid()和md5()增加的复杂度不高。产生tokenPHP 7session_start();if (empty($_SESSION['token'])) {$_SESSIO...
phptoken作用原理,csrf_token简单原理实现
weixin_33498283的博客
03-11 969
我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:...
让每个Http请求都自动带上token
热门推荐
wdquan19851029的专栏
12-23 1万+
token放到cookie中,这样每个http请求就都可以带上token信息了。 access_token="jeerfdafdseveaewfewfewa......"; document.cookie = "keycloakToken=" + access_token; 下面以Django的中间件为例,看看后端是怎样从request中得到token信息。 accessToken = ""; if not request.META.get('HTTP_COOKIE'): #判断有没有cooki
spring-security-oauth2设置每次请求生成token
u013008898的博客
02-19 896
spring-security-oauth2设置每次请求生成token
php curl带有csrf-token验证模拟提交方法
小熊的专栏
10-18 8887
通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。 要想模拟提交有token验证的网站其实也不难。1.获取token 2.带上获取到的token模拟提交下面是一个成功的例子 目录结构│ form.php –需要模拟的表单 │ getForm.php – 模拟提交程序 │ post.php –表单验证程序 │ └─cookie
django-react-csrftoken一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单
02-03
一个嵌入式React组件,用于使用Django CSRF中间件令牌提交表单。 安装 npm install --save django-react-csrftoken 用法 import React from 'react' ; import DjangoCSRFToken from 'django-react-csrftoken' class...
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
在django中使用post方法时,需要增加csrftoken的例子
12-20
从百度查到在django中,使用post方法时,需要先生成随机码,以防止CSRF(Cross-site request forgery)跨站请求伪造,并稍加修改: 注:这是一个js文件,需要引入到html模板中:[removed][removed] 这样做比使用{% ...
php每次请求制造一个token,php csrf问题一个请求生成一个csrf key token,但是界面用了两个POST?...
weixin_42494160的博客
03-27 111
没关系的呀,审核的csrf_token 都是session给的,我懂了,您的csrf_token是 放表单里的对吧,您可以放在meta标签里呀,通过ajax提交表单。或者甩在form外面每次异步提交就无所谓了,渲染视图的时候放在meta标签里或者丢出去,异步提交的时候抓回来丢到后端就可以了$.request('post','/reg',{});$.extend({/*** $.ajax请求的封装*...
一个php页面处理两个form表单的方法
a1234567mdy的专栏
04-14 3700
<br />http://www.jzread.com/program/php/2010-01-05/353.html<br /> <br />两个表单用一个页面处理,甚至很多表单用一个页面处理,在日常的网站开发中经常遇到,下面以两个表单用一个php页面处理<br /> 例如说我从a.php页提交的表单到post.php页处理<br /> 从b.php提交的表单页到post.php页处理<br />要想让a.php和b.php都调用post.phppost.php区别情况进行处理,需要增加一个type
php 两次post,ajax跨域往php程序post数据时,php程序总是执行两次的解决办法
weixin_34243541的博客
03-17 225
ajax跨域往php程序post数据时,php程序总是执行两次的解决方法php程序是部署在IIS7上面,ajax提交数据时,遇到了两个问题一个就是跨域,一个php程序总会被执行两次。第一个问题的解决方法,是百度出来的,添加下面几行代码就可以了:header('Access-Control-Allow-Origin:*');header("Access-Control-Allow-Headers:...
X-CSRF-Token
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
Laravel--CSRF的方法
Iam8600的博客
11-17 9039
                                     Laravel--CSRF的方法     在框架中一般情况下报这种错误的都是csrf防攻击未关闭   那么我们可以关闭这种csrf有以下两种方法:   第一种 打开文件路径:app\Http\Kernel.php 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrf...
数据预处理之基于统计的异常值检测
最新发布
06-10
matlab+数据预处理+统计+异常值+检测+适用维度较小的数据 基于统计的异常值检测是一种利用统计学原理和技术来识别数据集中异常值或离群点的方法。这种方法通过考察数据集的统计特性来发现与其他样本显著不同的观测值。我们可以利用几种常见的方法,包括3σ(sigma)准则、Z分数(Z-score)和Boxplot(箱线图)。
基于django使用ajax发送post请求时,都可以使用哪种方法携带csrf token
03-24
你可以使用 jQuery 的 ajax 函数在请求头中携带 CSRF token,以确保安全性。可以这样设置: ```javascript $.ajaxSetup({ beforeSend: function(xhr, settings) { xhr.setRequestHeader('X-CSRFToken', $('input...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值