1.原理
功击者自己伪造了一个和网站一样的表单,然后在他自己站内或别处,向网站提交表单数据,给安全造成了问题
2.解决方式
(1).传统的浅层阻止
$referer = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : NULL;
$host = $_SERVER['HTTP_HOST'];
echo "提交的地址:" . $referer;
echo "<br/>本站域名:" . $host
if (substr($referer, 7, strlen($host) != $host)) {
echo "非法操作";
} else {
echo "合法操作";
}
(2).加密令牌
生成一个随机串,比如char_str , 然后随表单生成一个隐藏域<input type="hidden" value="char_str " name="char_str " /> 并把这个值保存到服务器的
SESSION上,等到用户提交后,检查这个表单值和SESSION对比,不符就阻止。不过,这个方式如果用户多的话,会造成大量的SESSION,消耗服务器资源,
不推荐。一种优化的方式是把这个口令放在CACHE中,但是因为缓存会不定时清除,所以也有问题
(3).加密方式(推荐)
分为
单向加密和
可逆向加密:就是生成一个随机且变换频繁加密字符串(可逆和不可逆),跟方式2一样放在表单中,等到表单提交后检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦,对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了,不得不重写。因此,TTL过期时间应可设置。下面是一个不可逆的验证方式
class Token{
CONST KEY = "secret-salt";
static $ttl = 3; //$ttl表示这个随机串的有效时间(秒),很重要
//加密
public function get($uid, $action = -1){
$i = ceil(time() / self::$ttl);
return substr(self::challenge($i . $action . $uid), -12, 10);
}
//解密
public function verify($uid, $crumb, $action = -1){
$i = ceil(time() / self::$ttl);
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
return true;
return false;
}
//内部私有加密函数
private static function challenge($data){
return hash_hmac('md5', $data, self::KEY);
}
}
使用:
在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性
<input type ="hidden" name = "crumb" value= "<?php echo Token::get($uid) ?>">
在PHP服务器接收端,这样检验。默认下这个字串的有效期是7200秒
<?php
if(Token::verify($uid, $_POST['token'])){
//按照正常流程处理表单
}else{
//校验失败,错误提示流程
}
上面的就是不可逆的加密方式
有时,还希望在表单中加入私密数据,跟随用户表单加密串一直生成,在前端不被用户看到,这样就可以用到可解密的函数,生成的字串在PHP端解密,起到2个作用:
(1).得到私密数据
(2).验证表单来源的合法性
313
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
