php防止伪造跨站请求的小招式

最新推荐文章于 2021-03-24 12:21:02 发布
最新推荐文章于 2021-03-24 12:21:02 发布
阅读量142 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43224306/article/details/82922539
版权

 伪造跨站请求介绍

  伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:

  伪造链接,引诱用户点击,或是让用户在不知情的情况下访问

  伪造表单,引诱用户提交。表单可以是隐藏的,用图片或链接的形式伪装。

  比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。

  yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。

  随机串代码实现

  咱们按照这个思路,山寨一个crumb的实现,代码如下:


<?php  
class Crumb {                                                                                                    
  
    CONST SALT = "your-secret-salt";                                                           
  
    static $ttl = 7200;                                                                                             
  
    static public function challenge($data) {  
        return hash_hmac('md5', $data, self::SALT);  
    }                                                                                                               
  
    static public function issueCrumb($uid, $action = -1) {  
        $i = ceil(time() / self::$ttl);  
        return substr(self::challenge($i . $action . $uid), -12, 10);  
    }                                                                                                               
  
    static public function verifyCrumb($uid, $crumb, $action = -1) {  
        $i = ceil(time() / self::$ttl);                                                                             
  
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||  
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)  
            return true;                                                                                            
  
        return false;  
    }                                                                                                               
  
}  

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。

   应用示例

  构造表单

  在表单中插入一个隐藏的随机串crumb


<form method="post" action="demo.php">  
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">  
<input type="text" name="content">  
<input type="submit">  
</form>  

处理表单 demo.php

  对crumb进行检查 

<?php  
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {  
    //按照正常流程处理表单  
} else {  
    //crumb校验失败,错误提示流程  
}  

mumu_wangwei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
PHP限制页面只能在微信自带浏览器访问的代码
10-26
我们都想限制程序只能在微信里面浏览,下面是PHP限制页面只能在微信自带浏览器访问的代码,大家可以参考下
php防止伪造跨站请求的小招式
10-28
PHP开发中,防止伪造跨站请求(Cross-Site Request Forgery, CSRF)是一项至关重要的安全措施。CSRF攻击允许攻击者在用户浏览器上利用已登录用户的权限执行恶意操作,如发送垃圾邮件、删除数据等。为了抵御这种...
【代码】利用php防止用户伪造跨站请求的小技巧
10-10 1675
清源教育php开发课程学习培训之php常用的伪造跨站请求介绍 伪造跨站请求比较难以防范,而且危险系数很大,恶意攻击者经常通过这种方式进行恶作剧,发spam信息,删除网站数据等等。这种常见的攻击表现形式有: 伪造恶意的链接,诱骗用户去点击,或者让用户在毫无防备的情况下访问 伪造提交表单,诱骗用户提交。表单是隐藏类型的,用图片或链接的形式伪装。 比较常见并且最常用的防范手段是在
PHP漏洞全解(六)-跨网站请求伪造
zacklin的专栏
04-16 1049
CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻
php 如何避免用户访问请求伪造ip,如何避免用户访问请求伪造ip
weixin_29029169的博客
03-10 268
REMOTE_ADDR 没那么容易伪造.请参见Can $_SERVER['REMOTE_ADDR'] be trusted?http://stackoverflow.com/questions/58..."HTTP_" 开头的$_SERVER很容易伪造.服务段判断还是挺容易的. 其实下面这个代码也是判断是否使用proxy....
php 如何避免用户访问请求伪造ip,php - 如何避免用户访问请求伪造ip
weixin_42520239的博客
03-24 147
怪我咯2017-04-10 13:13:194楼REMOTE_ADDR 没那么容易伪造.请参见Can $_SERVER['REMOTE_ADDR'] be trusted?http://stackoverflow.com/questions/58..."HTTP_" 开头的$_SERVER很容易伪造.服务段判断还是挺容易的. 其实下面这个代码也是判断是否使用proxy.if ($_SERVER['...
php漏洞之跨网站请求伪造防止伪造方法
10-26
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
防止伪造跨站请求
03-26
标题中的“防止伪造跨站请求”指的是Web应用安全领域中的CSRF(Cross-Site Request Forgery,跨站请求伪造)防护。CSRF攻击是利用用户的已登录状态,诱使用户在不知情的情况下执行非预期的操作,例如转移资金、更改...
CSRF(跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
PHP防止跨站调用API
a1057962851的博客
02-27 996
1 2 3 4 5 6 7 8 9 10 11 12 13 &lt;?php $servername=$_SERVER['SERVER_NAME'];//当前服务器 $url_from=$_SERVER['HTTP_REFERER']...
PHP中如何防止跨域调用接口
weixin_34366546的博客
04-09 382
用过ajax的童鞋就知道ajax可以跨域触发某个接口,但是由此引起一个任何域都可以调用的问题,这时候就要考虑用到防盗链技术了,在PHP中$_SERVER["HTTP_REFERER"],$_SERVER["HTTP_REFERER"]里放置的是链接到本页面的上一个页面的URL,假如你是直接进来的话,$_SERVER["HTTP_REFERER"]是没有值的。下面以一个简单的实例介绍一下,PHP如何...
PHP如何防止跨域调用接口
bite the dust
07-18 3374
第一种方法: $refer = $_SERVER['HTTP_REFERER'];   var_dump($refer);die; if($refer){       $url = parse_url($refer);       // var_dump($url);die;     if ($url['host'] != 'localhost') {            exit
PHP防止跨站表单提交与同站跨页伪造表单的攻击
IT专业技术博客
05-23 613
在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个站点,这样可以防止普通的攻击,ereg("www.rczjp.com",$_SERVER['HTTP_REFERER']) 不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: www.rczjp.cn"); 或者在恶意脚本中伪造HTTP头 由于HTTP Referer是由客户端浏览
PHP防止伪造跨站请求:表单中插入隐藏的随机串
xmlife的专栏
05-09 1051
随机串代码实现 创建一个crumb的实现,代码如下:   class Crumb {
PHP禁止外部访问API方法,怎么防止外人调用api?
weixin_30195669的博客
03-13 927
小弟问个问题如果网站的操作都是通过一个api实现的比如php有一个控制页面,www.control.php?action=1$addlist="adfs".....当然是post方法,举例。从主页ajax 调用post到这个页面怎么防止别人通过工具提交页面到我的api,只允许我的手机app提交?谢谢大神们指点回复讨论(解决方案)我们团队的做法是每台手机登陆app后会有一个session_id,简称...
PHP防止站外表单跨站提交的几种办法详解
Sunny
06-27 1886
http://www.vephp.com/jiaocheng/61.html在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用2、加密令牌:很多CMS会用到这个方式,就是生成一个随机串,比如V...
php防止伪造数据从URL提交解决方法
weixin_33720956的博客
07-04 347
php防止伪造数据从URL提交解决方法php防止伪造的数据从URL提交方法。针对伪造的数据从URL提交的情况,首先是一个检查前一页来源的如下代码:<?/*PHP防止站外提交数据的方法*/functionCheckURL(){$servername=$_SERVER['SERVER_NAME']; $sub_from=$_SERVER["HTTP_REFERER"];...
php防止模拟请求
倾城一笑stu
10-30 3369
1.一些网站是采用检测此IP地址登录的密集度,多次登录后需要输入验证码,那么这时CURL模拟的提交就需要去对验证码图片进行分析,这样就会花费大量时间,当然,这种是对于防止登录被爆破,用户资料泄露的。 2.还有一种就是直接在session保存生成的随机码,然后放在input的隐藏域,这种比验证码那种差了许多。 3.注意javascipt本身是无法跨域提交的,不是因为不能做到,而是防止别人
IBM Security Appscan漏洞--链接注入(便于跨站请求伪造
YouXu
03-16 4755
•可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 •可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 •可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件
CSRF跨站请求伪造漏洞
最新发布
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发CSRF攻击。攻击者可以通过这种方式窃取用户的个人信息、账号密码等敏感信息,或者进行一些非法操作,比如在用户不知情的情况下转账、购买商品等。 CSRF攻击的过程一般包括以下几个步骤: 1. 攻击者在第三方网站上设置陷阱,比如在网页中插入一个图片或者链接。 2. 用户在浏览器中访问第三方网站,触发了陷阱,浏览器会自动向被攻击网站发送请求。 3. 被攻击网站接收到请求后,会认为这是用户的合法请求,从而执行相应的操作,比如转账、购买商品等。 防御CSRF攻击的方法包括: 1. 在表单中添加随机的token,防止攻击者伪造请求。 2. 检查Referer头部,确保请求来源于合法的网站。 3. 在cookie中添加SameSite属性,限制cookie只能在同站点请求中发送,从而防止跨站请求伪造攻击。 --相关问题--: 1. 什么是XSS漏洞? 2. 如何防御XSS攻击? 3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mumu_wangwei

主修"红尘道--红尘练心"

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值