php防止csrf
来源:互联网 发布:开源c语言编译器哪个好 编辑:程序博客网 时间:2024/05/18 11:46
csrf是一种通过有权限用户在不知情的情况下点开了黑客的链接,黑客通过譔用户的权限进行一系利用户不知情的操作。
一般都是提交form表单。
在我不知道csrf以前,我判段用户是否登录都是在session存一个标识符,程序进行操作时都会判段此标识符是否存在。可是对csrf这个东西来说我这个安全措施是不存在的,想一想,用户的session是靠什么来进行区分的,靠的是存在cookie中的session_id,就是说只要黑客知道这个session_id并且此session还在生命周期内的话,黑客就可以伪造session_id盗用你的身份,可是有一个前提,黑客要知道你的session_id,黑客要知道session_id就是要获取你的cookie,可是黑客又不可能知道用户cookie,这时就可以用csrf了,通过一些手段,让用户访问黑客制作的网站,黑客把网站表单提交给被攻击的网站,如果用户打开这个网站提交了表单,session还活着,ok你就gg了,黑客不能得到你的cookie但是如果是你自己做的操作呢?所以csrf本质上是欺骗用户做一些操作。
用户可能被欺骗,所以我们需要做一些安全措施,防止出现csrf,黑客伪造表单用户上当点击的情况,既然cookie中的sessionid有可能是假的,那么我们就需要另一个验证,就可以使用token,具体就是在form表单中我们可以添加一个<input type="hideen" value="token_value" name="token"></input>
表单上传的时候,我们要判段这个token是否与后端程序的token是否相等例如这样
那token是否能被黑客知道呢,有可能那就是他得到了你的用户和密码并且按下f12查看token…….有了这个手段想要再简单csrf就不存在了。
if($_SESSION['id']&&$_POST['token']==$_SESSION['token'])
{
echo '身份认证成功';
}else{
echo '身份认证失败';
}
- php防止csrf
- php--- 验证表单,防止csrf
- php中如何防止CSRF攻击
- 防止CSRF攻击
- 防止CSRF攻击
- 如何防止CSRF
- Csrf攻击与防止
- MVC中防止CSRF攻击
- 防止CSRF跨域攻击
- 防止CSRF攻击与protect_from_forgery
- SameSite Cookie,防止 CSRF 攻击
- 防止CSRF filter拦截验证
- PHP防csrf攻击
- php csrf防御
- php csrf防御
- 【转】如何防止CSRF注入式攻击
- MVC Html.AntiForgeryToken() 防止CSRF攻击
- MVC Html.AntiForgeryToken() 防止CSRF攻击
- proxool详细配置
- 几种基本排序的实现:选择排序,冒泡排序,插入排序,堆排序,快速排序,归并排序
- SQL 循环语句 while 介绍 实例
- ES6数字扩展
- c与c++的不同之处(主要7点)
- php防止csrf
- Linux 安装 MySQL 数据库
- 属性动画实现短信验证码倒计时
- 优惠券样式收集
- 获取成员函数地址及获取函数地址
- A
- 使用http-server时资源加载不出来
- 每日一题(16)—— 声明和定义的区别
- ES6中的类