《
如何防止伪造跨站请求》文章地址:http://www.tfxk.com/wangyesheji/jianzhanjingyan/03023410R013.htm
Tag:跨站恳求 跨站要求
咱们按照这个思路,山寨一个crumb的实现,代码如下:
代码中的$uid表示用户独一标识,而$ttl表现这个随机串的有效时光。
<?php if(Crumb::verifyCrumb($uid, 伪造跨站请求介绍
伪造跨站请求比较难以防范,而且伤害伟大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:
伪造链接,引诱用户点击,或是让用户在不知情的情形下拜访
伪造表单,引导用户提交。表单可以是隐蔽的,用图片或链接的形式伪装。
比较常见而且也很便宜的防范手腕是在所有可能波及用户写操作的表单中加入一个随机且变换频繁的字符串,而后在处理表单的时候对这个字符串进行检查。这个随机字符串假如和当前用户身份相关系的话,那么攻击者伪造请求会比较麻烦。
yahoo应付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。
随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:
<?php class Crumb { ,如何避免网站大量重复的网页元标签内容; CONST SALT = "your-secret-salt"; static $ttl = 7200; ,如何进行竞争对手网站分析; static public function challenge($data) return hash_hmac('md5', $data, self::SALT); static public function issueCrumb($uid, $action = -1) $i = ceil(time() / self::$ttl); return substr(self::challenge($i . $action . $uid), -12, 10); static public function verifyCrumb($uid, $crumb, $action = -1) substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb) ,如何运营企业网站来实现营销目标?; return true; return false; }
代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。
运用示例
结构表单
在表单中插入一个隐藏的随机串crumb
<form method="post" action="demo.php"> <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>"> <input type="text" name="content"> <input type="submit"> </form>
处理表单 demo.php
对crumb进行检讨
___FCKpd___2
POST['crumb'])) //依照畸形流程处置表单 else //crumb校验失败,过错提醒流程
在表单中插入一个隐藏的随机串crumb
处理表单 demo.php
捏造表单,勾引用户提交。表单能够是暗藏的,用图片或链接的情势假装。
<?php class Crumb { CONST SALT = "your-secret-salt"; static $ttl = 7200; static public function challenge($data) return hash_hmac('md5', $data, self::SALT); static public function issueCrumb($uid, $action = -1) $i = ceil(time() / self::$ttl); return substr(self::challenge($i . $action . $uid), -12, 10); static public function verifyCrumb($uid, $crumb, $action = -1) $i = ceil(time() / self::$ttl); if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ,如何设计才能让你的网站更生动; }
构造表单
比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相干联的话,那么攻击者伪造请求会比较麻烦。
伪造跨站请求比拟难以防备,而且迫害宏大,攻打者可以通过这种方法恶作剧,发spam信息,删除数据等等。这种袭击常见的表示形式有:
随机串代码实现
<form method="post" action="demo.php"> <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>"> <input type="text" name="content"> <input type="submit"> </form>
利用示例
伪造链接,引诱用户点击,或是让用户在不知情的情况下访问
对crumb进行检查
yahoo凑合伪造跨站请求的措施是在表单里参加一个叫.crumb的随机串;而facebook也有相似的解决方法,它的表单里经常会有post_form_id跟fb_dtsg。
伪造跨站请求先容
--> [
网站建设之]如何避免伪造跨站请求
(责任编辑:网站建设)
如何防止伪造跨站请求相关文章