绕过cookie请求提交表单
Bypass cookie request for form submission
我们正在努力保护我们的网站-是否有可能有人在提交表单时绕过我们网站对cookie的要求?我们正试图阻止跨站攻击。由于
我想你的意思是跨站点请求伪造(CSRF)。这可以通过在表单中使用特殊的CSRF令牌轻松地防止。
每次显示表单时,令牌应该是不同的。
<?php
$token = md5(time()); /* a simple attempt to generate a token */
$_SESSION['csrf_token'] = $token;
?>
包含在你的表单中。
<form>
<input type="hidden" name="csrf_token" value="<?php echo $token ?>">
...
</form>
并在表单提交时在服务器上验证。
<?php
$storedToken = $_SESSION['csrf_token'];
unset($_SESSION['csrf_token']);
if ($_POST['csrf_token'] == $storedToken) { ... }
?>
确保令牌只能使用一次
使用SSL来提高安全性,如果还没有到位。
相关文章:
- HTML表单提交时未执行外部函数
- JS表单提交"无法使用Chrome数据保护程序加载此页面.尝试重新加载页面.调试信息:POST CISmtuK
- 将图像上传ajax与表单提交ajax相结合
- Javascript无法处理表单提交
- 如何在我的情况下禁用表单提交
- 加载后的页面与ajax表单提交不起作用
- angularjs-控制器在表单提交时未调用
- 禁用带有字符白名单的表单提交
- 如何使用Google Analytics跟踪表单提交
- 使用javascript将表单提交到iframe目标中
- e.preventDefault在表单提交时被忽略
- AngularJS JQuery Ajax表单提交等效
- JavaScript表单提交帮助
- PHP表单提交和重定向
- 当所有输入文本字段都为空时,禁止表单提交,但当jquery中的任何字段不为空时允许提交
- setTimeOut AFTER jQuery表单提交
- 从函数中选择要触发表单提交的正确元素
- JavaScript表单提交没有't fire asp服务器端点击功能的提交按钮
- 表单提交问题,如何在我的URL末尾获得ID的值
- Javascript使用Confirm取消表单提交