php ci csrf,CodeIgniter中使用CSRF TOKEN的一个坑

最新推荐文章于 2023-09-08 15:12:25 发布
最新推荐文章于 2023-09-08 15:12:25 发布
阅读量313 收藏
点赞数
文章标签: php ci csrf

事情的经过是这样的,一个自动化扫描工具说我的代码中存在XSS漏洞,什么是XSS不懂的朋友可以看这里

我的代码里面开启CodeIgniter框架的CSRF Token,如下:

7330c6f9a4bb95ab41740b9ea7c30a66.png

很简单,更多详情参考CI官方文档,主要用法就是在form_open时候自动插入一个隐藏的token值,当然还可以直接用php echo security->csrf_hash来配合其他一些用法,这里不多说。

接下来说说我的代码,Controller中代码如下:

0ed413f3140ac9ab56b09e1ecd93ac61.png

视图层代码这里页写得比较简单:

ce2c0b32fd19e8c24a0a65caad0173f8.png

代码中只是生成一个form里面带有token用于页面和服务器之间进行交流的。

代码介绍完了,接下来就来看自动化工具认为存在xss的地方。

92693a8ac446b7eded9c7c923345c8ed.png

自动化工具是通过这两处来判断的。因此我们查看form_open的源码:

98a79eea0e1b248fbee360d6cbf4bfdf.png

可以看到,当form_open函数的action为空的时候,form的action会默认取当前的url。

如果当前的url有“岂不是可以截断html从而造成xss了,带着这样想法,我们来构造一下:

3d2fb5acca1bfe837abb5d57e630f199.png

默认是会被ci框架拦截的,因为存在非法字符,这个字符定义是在config.php中:

658b3b91638ebe1f82ae95306300ba14.png

有些时候url出现中文本拦截也是因为这个配置。

大致运行的流程如下:

94e29c710d60e2e31be851c571604080.png         index.php

cfff7c7b7a98732ae889f65c3f8fb8b3.png                    CodeIgniter.php

edc8d2b9edde01ad20ea665b0d6840dc.png            Router.php

1561613c579daf472b6ef880a4d10595.png            URI.php

f9aa46fedb1c9e7ae9e3ce71d4a2365d.png            URI.php

从上的例子可以看到,如果form_open空参数的可能带来一定的安全问题,但是默认情况下CI是拦截这些非法字符的,因此不会造成威胁。但是为了安全我们应该养成好的习惯,form_open必须有非空的action参数,就算这个form表单你不会使用。

今天也要开心呢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈php(codeigniter)安全性注意事项
12-20
CodeIgniter框架,`ci_session`默认就启用了`HTTPOnly`和更长的Session ID,所以推荐使用框架提供的`ci_session`而非原生PHP的`session`。如果你需要使用原生的`session`,记得在`php.ini`增加`session.sid_...
PHP校园二手信息网站的设计与开发
最新发布
06-02
4. CSRF防护:使用CSRF token,防止未经授权的跨站请求。 五、性能优化 1. 数据库索引:对经常用于查询的字段创建索引,提高查询速度。 2. 缓存机制:使用Redis或Memcached缓存常用数据,减轻数据库压力。 3. CDN...
jwt token php实例结合ci钩子实现身份认证
qq_24074585的博客
09-24 1971
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。其 JWT的组成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 载荷(Payload) { “iss”: “Online JWT Builder”, “iat”: 1416797419, “exp”: 1448333419, “aud”: “www.ex...
PHP表单token验证防CSRF攻击
php-yyds
09-08 745
检查该token是否有效,如果无效则拒绝处理该请求。生成表单token的方法可以使用PHP的内置函数。当表单提交时,将该token随表单数据一起发送到服务器端。服务器端在接收到表单数据后,在PHP,表单token是一种安全机制,用于防止跨站请求伪造(CSRF)攻击。表单token的原理是在表单生成一个随机的token,并将其存储在服务器端。CSRF攻击是一种利用用户身份在未经授权的情况下执行非法操作的攻击方式。
CodeIgniter使用CSRF TOKEN一个
weixin_34301132的博客
08-02 408
事情的经过是这样的,一个自动化扫描工具说我的代码存在XSS漏洞,什么是XSS不懂的朋友可以看这里 我的代码里面开启CodeIgniter框架的CSRF Token,如下: 很简单,更多详情参考CI官方文档,主要用法就是在form_open时候自动插入一个隐藏的token值,当然还可以直接用php echo security->csrf_hash来配合其他一些用法,这里不多说。 接...
CI框架之微信公众平台之验证token,提交url成功
langmanzaiyuzhong的专栏
01-26 398
第一步 首先注册账号成为开发者。第二步 把图片上的token对应的值写入框架的constants.php配置文件。 图片上的url为自己的项目路径。直接指向入口文件就行了。 token的值只要和配置文件token一样就行了,不一定是weixin ,可以随意定义。 constants.php这样定义: define('TOKEN', 'weixin'); 接下来就可以做验证的...
基于PHP的网站收录查询工具php版源码.zip
10-22
【标题】的“基于PHP的网站收录查询工具php版源码”表明这是一个使用PHP编程语言开发的工具,其主要功能是查询网站是否被搜索引擎收录。这个工具可能通过爬虫技术或者利用搜索引擎提供的API来实现这一功能。在PHP...
PHP实例开发源码-PHP兴趣分享图谱程序带淘宝客.zip
10-15
该压缩包文件“PHP实例开发源码-PHP兴趣分享图谱程序带淘宝客.zip”包含了一个基于PHP语言的实例开发项目,主要目的是实现一个兴趣分享图谱程序,并且集成了淘宝客功能。从标签“php”我们可以推断,这个项目专注于...
PHP实例开发源码—筱瞳影视CMS.zip
11-24
PHP实例开发源码—筱瞳影视CMS】是一款基于PHP编程语言开发的视频内容管理系统,专为搭建在线视频网站提供了...同时,对于想要创建自己的视频网站或对现有CMS系统进行二次开发的开发者来说,这是一个宝贵的参考资料。
phpcodeigniter)安全性注意事项
壁立千仞无欲则刚的博客
02-12 1421
1、httponly session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id,不要用原生的phpsession,而要用ci_session。 2、phpinfo 一定要关闭phpinfo页面,dump的请求信息可能会被攻击者利用。比如cookie信息。 3、全站https 4、secure cookie
phptoken作用原理,csrf_token简单原理实现
weixin_33498283的博客
03-11 975
我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:...
PHP CI框架防范CSRF及XSS源码摘录
daisy_sura的博客
01-31 776
CSRF 基本思路:在表单增加隐藏input,值为随机hash值,提交到服务端后与cookie的hash值进行比对。每次提交后,重新生成token和cookie的值。这里以CI为例,Laravel的思路也基本相同。 配置 /* |-------------------------------------------------------------------------- | Cros...
CI框架ajax方式post数据时加上csrf验证
SMILENCE
06-13 3490
原理 1.生成一个token串放在cookies里面, 2.把上面那个token放在表单里面, 3.表单回传之后,对比cookies里面的这个token和post里面的token是否相等,不相等就返回错误, 4.为什么可以防御csrf呢,因为cookies是不会被第三方获取的。 下面这段就是一个验证通过示例: $this ->security->csrf_verify();
CIcsrf使用说明
飞空静渡
02-19 1261
在application的config可以开启csrf的设置: $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_cookie_name'] = 'csrf_cookie_name'; $config['csrf_expire'] = 7200; $c...
CICSRF防范原理及注意事项
Notzuonotdied的博客
03-10 792
CICSRF防范原理及注意事项
CSRF如何使用token解决 token存在哪里
08-26
对于服务端生成的CSRF-Token,它通常是通过在用户会话生成一个唯一的随机字符串,并将其与用户会话关联起来。而对于客户端生成的CSRF-Token,它通常是通过JavaScript生成,并将其嵌入到页面CSRF-Token的嵌入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值