【ThinkPHP5初体验(二)1】CSRF防范原理(thinkphp5 CSRF ajax令牌)

最新推荐文章于 2024-10-29 10:51:20 发布
转载 最新推荐文章于 2024-10-29 10:51:20 发布 · 898 阅读 · 1

本文深入探讨了CSRF攻击原理及防御策略,重点讲解了如何通过使用存储在session中的令牌(token)来防范CSRF攻击,包括PHP代码实现和HTML示例。

CSRF是什么我就不解释了,百度一搜全是,比波姐的片源还要多,千篇一律都他么是复制粘贴。

那为什么这个令牌(token)操作可以防范CSRF呢?下面我就随便说说说错了大家不要介意。

首先我们要知道令牌是存储在session里面的,这个很重要

 php代码如下

<?php 
    namespace app\index\controller;
    //我直接允许跨域,因为伪装CSRF网站随便在nginx搞个反向代理,跨域问题随便破
    header('Access-Control-Allow-Origin:*');
    //$this->request要用到继承Controller
    use think\Controller;
    //操作session需要用到Session
    use think\Session;
    
    class Index extends Controller
    {
        function index()
        {
            //新建一个令牌
            $t = $this->request->token('__token__', 'sha1');
            //直接输出令牌,不做json处理了
            echo $t;
        }
        function action()
        {
            //判断,找到session的令牌和上传的令牌是不是一样
            if (Session::get('__token__') == $this->request->post('__token__')) {
                return '成功'.Session::get('__token__');
            } else{
                return '失败'.Session::get('__token__');
            }
        }
    }
 
html代码如下(这个直接放在www目录下面就好了,即网站根目录)(http://localhost和http://127.0.0.1都算是跨域噢)

<html>
    <script src="https://code.jquery.com/jquery-3.1.1.min.js"></script>
    <body>
        <div id="first">第一次ajax产生的token:</div>
        <div id="second">第二次ajax输出的token:</div>
    </body>
    <script>
        $.ajax({
                //tp的url地址我放在这里,根据自己定义
                url:'http://127.0.0.1/public/index/index/index',
                type:'GET'
                success(data1){
                    first.innerHTML += data1
                    $.ajax({
                       url:'http://127.0.0.1/public/index/index/action',
                       type:'POST',
                       data:{
                            __token__:__token__
                        },
                       success(data2){
                           second.innerHTML += data2
                       }
                    })
                }
            })
    </script>
</html>

https://blog.youkuaiyun.com/jeason_L/article/details/85081317

ThinkphpAJAX动态验证用户输入
12-18
使用Thinkphp3.2框架,wampserver服务器,ajax提交数据,详情见博客http://blog.youkuaiyun.com/welovesunflower/article/details/41963671
thinkphp6.0安全性
x3088的博客
09-26 624
准备工作: 根据实际应用场景确定哪些字段必须经过验证,以及每种情况下允许接受的数据类型和格式。示例参考: 如邮箱地址应当满足正则表达式匹配条件;年龄字段仅限非负整数且不超过三位数等。适用场景: 当默认提供的选项无法完全覆盖特定需求时,可以考虑创建个性化的验证逻辑。开发技巧: 基于闭包函数或者继承基类来自行定义新规则,同时支持错误消息定制化以便更友好地反馈给前端。通过以上五个方面的详细介绍,相信您已经对ThinkPHP6.0的安全性有了较为全面的认识。
重温《Effective Java》
我相信......
04-14 814
如果忘掉其他的数据结构, 只留下一种,或许会是哈希表;如果忘掉其他的安全技术,只留下一种,或许会是访问控制;如果扔掉手中其他的Java 手册,只留下一本,对于期望写出高效而优雅代码的工程师而言,那或许就是《Effective Java》。“大道易得,小术难求”, 如果一本书中道与术兼备,很可能会成为经典之作,而《Effective Java》一书则可能是经典中的经典。作者Joshua Bloch是...
tp5.1 csrf 验证
天天的博客
11-25 915
说白了,就是加一个隐藏域 加隐藏域不是手动加的,是tp5.1 加的 发令牌 验证令牌,自动验证:
php如何防止csrf攻击
大熊
12-31 949
原创2019-09-20 13:51:230 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货...
PHP 预防CSRF、XSS、SQL注入攻击(综合版)
chenrui310的博客
06-20 2772
【简约版】 主要通过校验用户输入信息,过滤用户输入信息,以及关闭错误信息显示等方法。 一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行,从而泄露数据库信息 1.输入验证 2.错误消息处理 3.加密处理 4.使用专业的漏洞扫描工具 、XSS:跨站脚本攻击,指恶意攻击者往Web页面里插入恶意代码,当用户浏览...
ThinkPHP6开启CSRF表单验证
东小记的博客
07-08 2439
目录 使用原因 简单配置 两种提交数据的场景 表单提交 ajax异步提交 使用原因 项目使用非前后端分离的情境下,提交表单时,开启CSRF中间件能提高操作安全性。 简单配置 开启session中间件与csrftoken验证中间件 # 修改app/middleware.php,去掉SessionInit类注释并增加FormTokenCheck类 <?php // 全局中间件定义文件 return [ // 全局请求缓存 // \think\middleware\
07thinkphp 第三天 表单验证+验证器+ 附 csrf验证token
fly
11-15 656
表单验证是为了防止访问者跳过客户端验证(js验证)而造成的系统安全问题,一但非法用户绕过客户端验证而服务器端没有加以验证,这样就是很不安全了,所以项目必须要进行服务器端表单验证。 ThinkPHP5.1推荐使用验证器进行数据验证(也支持使用\think\Validate类进行独立验证) 内置规则: https://www.kancloud.cn/manual/thinkphp5_1/3541...
Thinkphp快速入门()
qq_29744347的博客
04-20 424
文章目录中间件中间件创建全局中间件应用中间件路由中间件控制器中间件视图引入视图组件渲染视图模版传参viwe 辅助函数 中间件 在执行主要逻辑之前进行某些操作或之后进行某些操作 常用来登录验证,csrf验证等 中间件创建 # 中间件可以通过 php think make:middleware <middlewareName> 创建 # 不过这是创建在 app/middleware 下的 php think make:middleware stop
ajax头文件报错,AJAXCSRF保护
weixin_26870929的博客
08-06 504
如果使用ajax传输数据,需要在AJAX中要使用csrf保护。一般而言,即在后端已经使用了CSRFProtect(app)的前提下,如果想使用ajax,避免400的报错,可以前端的表单里引入标签,如下所示login.html然后在js中的ajax代码块中将csfr包裹起来:login.js$(function () {$('#submit').click(function (event) {// ...
tp5 ajax 路由,tp5ajax方式提交表单
weixin_42171132的博客
08-05 442
ajax提交表单,迅速,快捷,实现页面无刷新提交表单。ajax批删姓名年龄地址添加$("#sub").click(function(){var name = $("#name").val();var age = $("#age").val();var address = $("#address").val();$.ajax({method:"POST",data:{name:name,age:a...
laravel5.5 CSRF验证处理
我有一个魔盒的博客
04-30 229
HTML中添加: <meta name="csrf-token" content="{{ csrf_token() }}"> 在ajax请求中: (需要先在HTML中先做好上一步的添加) $.ajax({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } ...
TP5.0为了实现网站安全一共有哪些方法?使用场景是什么?底层原理是什么?
最新发布
长风破浪会有时的博客
10-29 837
通过上述示例,你可以了解到 TP5 中实现网站安全的一些常见方法,包括输入验证、密码加密、CSRF 防护、HTTPS 加密、XSS 防护、文件上传安全、会话管理、日志记录以及安全配置等。
thinkphp5 第38课:正确使用表单令牌
李书明(石家庄)的专栏
12-26 1289
使用表单令牌,一方面可以防止重复提交表单,方面可以防止黑客CSRF。 表单令牌是在服务器端随机生成的一串字符,保存在session中,并传递给前端页面,当前端数据提交时,一并携带令牌提交给服务器,服务器验证提交的令牌与session中的令牌是否一致,并同时销毁session中的令牌。所以每次请求时的令牌只能使用一次,下次如果使用同样的令牌就会失效,这即阻止了重复提交,也防止了黑客CSRF。 ...
8个社区人物的一天与一年:高可用架构群年度聚会札记
weixin_45583158的博客
02-01 148
1 月 29 日周五,Eric 正在公司年会现场,公司是一家提供通讯技术的云平台公司,在 2015 年业务取得了飞速发展,也成功拿到 B 轮融资。虽然周围正在经历一波波抽...
【新书速递】分布式事务开山之作,带你深入理解分布式事务
华章IT官方博客
10-19 1263
随着互联网的不断发展,互联网企业的业务在飞速变化,推动着系统架构也在不断地发生变化。总体来说,系统架构大致经历了单体应用架构→垂直应用架构→分布式架构→SOA架构→微服务架构的演变。如今微...
PHP_thinkPHP框架(2)
魔法革1996
08-22 270
能够熟悉使用数据查询方法 find select 能够使用TP5框架实现分页功能 paginate 能够使用TP5框架的验证码组件 composer 安装 require 包名 模板中 <img src={:captcha_src} /> 验证 2种 验证器 独立验证 能够使用TP5框架的验证器组件 独立 $validate = Validate::make(rule,message); $validate->check($_post); .
tp 表单
weixin_45822986的博客
09-16 349
<h1>用户添加页面</h1> <form action="useradd" method="post" enctype="multipart/form-data"> {:token('__token__', 'sha1')} <p>姓名:<input type="text" name="name"></p> <p>电话:<input type="tel" name="phone">&lt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值