【ThinkPHP5初体验(二)1】CSRF防范原理(thinkphp5 CSRF ajax令牌)

最新推荐文章于 2024-10-29 10:51:20 发布
转载 最新推荐文章于 2024-10-29 10:51:20 发布 · 898 阅读 · 1

本文深入探讨了CSRF攻击原理及防御策略,重点讲解了如何通过使用存储在session中的令牌(token)来防范CSRF攻击,包括PHP代码实现和HTML示例。

CSRF是什么我就不解释了,百度一搜全是,比波姐的片源还要多,千篇一律都他么是复制粘贴。

那为什么这个令牌(token)操作可以防范CSRF呢?下面我就随便说说说错了大家不要介意。

首先我们要知道令牌是存储在session里面的,这个很重要

 php代码如下

<?php 
    namespace app\index\controller;
    //我直接允许跨域,因为伪装CSRF网站随便在nginx搞个反向代理,跨域问题随便破
    header('Access-Control-Allow-Origin:*');
    //$this->request要用到继承Controller
    use think\Controller;
    //操作session需要用到Session
    use think\Session;
    
    class Index extends Controller
    {
        function index()
        {
            //新建一个令牌
            $t = $this->request->token('__token__', 'sha1');
            //直接输出令牌,不做json处理了
            echo $t;
        }
        function action()
        {
            //判断,找到session的令牌和上传的令牌是不是一样
            if (Session::get('__token__') == $this->request->post('__token__')) {
                return '成功'.Session::get('__token__');
            } else{
                return '失败'.Session::get('__token__');
            }
        }
    }
 
html代码如下(这个直接放在www目录下面就好了,即网站根目录)(http://localhost和http://127.0.0.1都算是跨域噢)

<html>
    <script src="https://code.jquery.com/jquery-3.1.1.min.js"></script>
    <body>
        <div id="first">第一次ajax产生的token:</div>
        <div id="second">第二次ajax输出的token:</div>
    </body>
    <script>
        $.ajax({
                //tp的url地址我放在这里,根据自己定义
                url:'http://127.0.0.1/public/index/index/index',
                type:'GET'
                success(data1){
                    first.innerHTML += data1
                    $.ajax({
                       url:'http://127.0.0.1/public/index/index/action',
                       type:'POST',
                       data:{
                            __token__:__token__
                        },
                       success(data2){
                           second.innerHTML += data2
                       }
                    })
                }
            })
    </script>
</html>

https://blog.youkuaiyun.com/jeason_L/article/details/85081317

Thinkphp5 Paypal支付
10-26
1. **Thinkphp5框架**:Thinkphp5是基于PHP语言的一个轻量级、高性能的MVC(Model-View-Controller)框架,它提供了丰富的特性,如路由、模型、视图、控制器等,方便开发者构建高效的企业级应用。在本项目中,...
thinkPHP5新闻管理系统
04-13
为了确保系统的安全性,开发者需要关注SQL注入、XSS攻击、CSRF等常见安全问题,并利用ThinkPHP5的安全特性如参数绑定、自动过滤和验证码机制进行防护。同时,定期备份数据库,对系统进行更新和维护,以应对潜在的...
thinkphp6.0安全性
x3088的博客
09-26 627
准备工作: 根据实际应用场景确定哪些字段必须经过验证,以及每种情况下允许接受的数据类型和格式。示例参考: 如邮箱地址应当满足正则表达式匹配条件;年龄字段仅限非负整数且不超过三位数等。适用场景: 当默认提供的选项无法完全覆盖特定需求时,可以考虑创建个性化的验证逻辑。开发技巧: 基于闭包函数或者继承基类来自行定义新规则,同时支持错误消息定制化以便更友好地反馈给前端。通过以上五个方面的详细介绍,相信您已经对ThinkPHP6.0的安全性有了较为全面的认识。
重温《Effective Java》
我相信......
04-14 816
如果忘掉其他的数据结构, 只留下一种,或许会是哈希表;如果忘掉其他的安全技术,只留下一种,或许会是访问控制;如果扔掉手中其他的Java 手册,只留下一本,对于期望写出高效而优雅代码的工程师而言,那或许就是《Effective Java》。“大道易得,小术难求”, 如果一本书中道与术兼备,很可能会成为经典之作,而《Effective Java》一书则可能是经典中的经典。作者Joshua Bloch是...
tp5.1 csrf 验证
天天的博客
11-25 917
说白了,就是加一个隐藏域 加隐藏域不是手动加的,是tp5.1 加的 发令牌 验证令牌,自动验证:
php如何防止csrf攻击
大熊
12-31 949
原创2019-09-20 13:51:230 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货...
PHP 预防CSRF、XSS、SQL注入攻击(综合版)
chenrui310的博客
06-20 2774
【简约版】 主要通过校验用户输入信息,过滤用户输入信息,以及关闭错误信息显示等方法。 一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行,从而泄露数据库信息 1.输入验证 2.错误消息处理 3.加密处理 4.使用专业的漏洞扫描工具 、XSS:跨站脚本攻击,指恶意攻击者往Web页面里插入恶意代码,当用户浏览...
thinkphp5-master源码
04-21
TP5重视安全性,提供了防SQL注入、XSS防护、CSRF防御等功能。同时,对输入数据进行过滤和验证,防止非法数据污染。 七、性能优化 框架采用单例模式、缓存策略以及路由优化等方式提升性能。此外,支持开启OPCache和...
thinkPHP5项目中实现QQ第三方登录功能
10-19
6. 实现登录功能的方法:在修改后的SDK类中,实现具体的登录方法(如qq_login),该方法用于生成登录URL并进行CSRF攻击防范,以及通过header函数或者ThinkPHP5的重定向函数实现跳转。因为ThinkPHP5可能无法正常显示...
ThinkphpAJAX动态验证用户输入
12-18
使用Thinkphp3.2框架,wampserver服务器,ajax提交数据,详情见博客http://blog.youkuaiyun.com/welovesunflower/article/details/41963671
ThinkPHP令牌验证实例
10-25
总结来说,ThinkPHP通过其内置的令牌验证机制提供了一种有效的方式保护应用程序免受CSRF攻击。开发者在开发过程中应该合理利用这些功能,同时也要了解其工作原理和维护方法,确保其在应用中得到正确运用。在使用过程...
ThinkPHP6开启CSRF表单验证
东小记的博客
07-08 2442
目录 使用原因 简单配置 两种提交数据的场景 表单提交 ajax异步提交 使用原因 项目使用非前后端分离的情境下,提交表单时,开启CSRF中间件能提高操作安全性。 简单配置 开启session中间件与csrftoken验证中间件 # 修改app/middleware.php,去掉SessionInit类注释并增加FormTokenCheck类 <?php // 全局中间件定义文件 return [ // 全局请求缓存 // \think\middleware\
07thinkphp 第三天 表单验证+验证器+ 附 csrf验证token
fly
11-15 658
表单验证是为了防止访问者跳过客户端验证(js验证)而造成的系统安全问题,一但非法用户绕过客户端验证而服务器端没有加以验证,这样就是很不安全了,所以项目必须要进行服务器端表单验证。 ThinkPHP5.1推荐使用验证器进行数据验证(也支持使用\think\Validate类进行独立验证) 内置规则: https://www.kancloud.cn/manual/thinkphp5_1/3541...
Thinkphp快速入门()
qq_29744347的博客
04-20 425
文章目录中间件中间件创建全局中间件应用中间件路由中间件控制器中间件视图引入视图组件渲染视图模版传参viwe 辅助函数 中间件 在执行主要逻辑之前进行某些操作或之后进行某些操作 常用来登录验证,csrf验证等 中间件创建 # 中间件可以通过 php think make:middleware <middlewareName> 创建 # 不过这是创建在 app/middleware 下的 php think make:middleware stop
ajax头文件报错,AJAXCSRF保护
weixin_26870929的博客
08-06 504
如果使用ajax传输数据,需要在AJAX中要使用csrf保护。一般而言,即在后端已经使用了CSRFProtect(app)的前提下,如果想使用ajax,避免400的报错,可以前端的表单里引入标签,如下所示login.html然后在js中的ajax代码块中将csfr包裹起来:login.js$(function () {$('#submit').click(function (event) {// ...
tp5 ajax 路由,tp5ajax方式提交表单
weixin_42171132的博客
08-05 442
ajax提交表单,迅速,快捷,实现页面无刷新提交表单。ajax批删姓名年龄地址添加$("#sub").click(function(){var name = $("#name").val();var age = $("#age").val();var address = $("#address").val();$.ajax({method:"POST",data:{name:name,age:a...
laravel5.5 CSRF验证处理
我有一个魔盒的博客
04-30 229
HTML中添加: <meta name="csrf-token" content="{{ csrf_token() }}"> 在ajax请求中: (需要先在HTML中先做好上一步的添加) $.ajax({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } ...
TP5.0为了实现网站安全一共有哪些方法?使用场景是什么?底层原理是什么?
最新发布
长风破浪会有时的博客
10-29 842
通过上述示例,你可以了解到 TP5 中实现网站安全的一些常见方法,包括输入验证、密码加密、CSRF 防护、HTTPS 加密、XSS 防护、文件上传安全、会话管理、日志记录以及安全配置等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值