PHP防止伪造跨站请求:表单中插入隐藏的随机串

最新推荐文章于 2022-09-21 15:02:45 发布
转载 最新推荐文章于 2022-09-21 15:02:45 发布 · 1k 阅读 · 0

本文介绍了一种使用PHP实现的随机串生成及验证方法,包括如何为表单生成随机串并在后台验证其有效性,确保表单提交的安全性。


随机串代码实现

创建一个crumb的实现,代码如下:

 <?php
class Crumb {                                                                                                 
                                                                                                                 
    CONST SALT = "your-secret-salt";                                                        
                                                                
    static $ttl = 7200;                                                                                          
                                                                                                                 
    static public function challenge($data) {                                                                    
        return hash_hmac('md5', $data, self::SALT);                                                              
    }                                                                                                            
                                                                                                                 
    static public function issueCrumb($uid, $action = -1) {                                                      
        $i = ceil(time() / self::$ttl);                                                                          
        return substr(self::challenge($i . $action . $uid), -12, 10);                                            
    }                                                                                                            
                                                                                                                 
    static public function verifyCrumb($uid, $crumb, $action = -1) {                                             
        $i = ceil(time() / self::$ttl);                                                                          
                                                                                                                 
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||                                    
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)                               
            return true;                                                                                         
                                                                                                                 
        return false;                                                                                            
    }                                                                                                            
                                                                                                                 
}

 

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。

应用示例

构造表单
在表单中插入一个隐藏的随机串crumb

<form method="post" action="demo.php">
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">
<input type="text" name="content">
<input type="submit">
</form>

处理表单 demo.php
对crumb进行检查

<?php
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {
    //按照正常流程处理表单
} else {
    //crumb校验失败,错误提示流程
}
解释 JavaScript 中的 XSS (跨站脚本攻击) 和 CSRF (跨站请求伪造) 攻击原理及防御措施。
weixin_41455464的博客
07-26 1126
防御措施原理适用场景输入验证严格验证用户输入,只允许输入符合预期格式的数据。所有接收用户输入的地方,例如表单、URL 参数、Cookie 等。输出编码对用户输入的数据进行编码,使其在 HTML 中显示时不会被解析为代码。所有需要将用户输入的数据显示在页面的地方。控制浏览器能够加载哪些资源,限制恶意脚本的执行。整个网站,可以细粒度地控制不同页面的安全策略。防止 XSS 攻击窃取 Cookie。所有需要保护的 Cookie,例如会话 Cookie。及时更新和修补漏洞。
深入浅出:PHP中的表单处理全解析
最新发布
软件架构师笔记
12-05 1045
通过本文的学习,你应该对PHP中的表单处理有了更深入的理解。了解这些基础知识不仅有助于编写功能性的代码,还能提高代码的安全性和性能。未来,你可以进一步探索更多高级主题,如面向对象编程、设计模式以及最佳实践等,从而成为一名更加专业的PHP开发者。
PHP防止跨站表单提交与同站跨页伪造表单的攻击
IT专业技术博客
05-23 710
在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个站点,这样可以防止普通的攻击,ereg("www.rczjp.com",$_SERVER['HTTP_REFERER']) 不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: www.rczjp.cn"); 或者在恶意脚本中伪造HTTP头 由于HTTP Referer是由客户端浏览
添加一个php验证加载,php安全开发:添加随机字符验证,防止伪造跨站请求
weixin_39900736的博客
04-02 106
伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。那怎么防范伪造跨站攻击呢?yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb随机;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符,然后在...
PHP跨站点对接访问请求
weixin_41692437的博客
09-21 307
PHP跨站点接口请求访问
php安全开发:添加随机字符验证,防止伪造跨站请求
打杂人
04-01 3190
伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。那怎么防范伪造跨站攻击呢? yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb随机;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁
PHP漏洞全解————6、跨站请求伪造
Fly_鹏程万里
04-30 734
本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的HTTP 请求,事实上,跟踪一个用户发送的HTTP请求才是攻击者的目的。CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。...
php安全开发 添加随机字符验证,防止伪造跨站请求
10-27
在实际应用中,我们可以在表单插入一个隐藏的`<input>`元素,用来存放`Crumb::issueCrumb()`方法生成的Token: ```html <form method="post" action="demo.php"> <input type="hidden" name="crumb" value="<?...
【CSRF-01】跨站请求伪造漏洞基础原理及攻防
m0_64378913的博客
07-01 1943
定义:CSRF(Cross-site request forgery,跨站请求伪造) 也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。发生地点:Web应用程序上,不是系统也不是组件。 发生时间:在终端用户在当前对其进行身份验证后。 发生形式:“强制”执行用户非本意的操作,此
【Java安全策略指南】:如何防止XSS攻击并保护跨站请求伪造
同时,文章详细分析了跨站请求伪造(CSRF)攻击的原理与危害,并提出了有效的防御措施和安全Token的设计与管理方法。此外,本文还探讨了Java安全API和框架的应用,以及如何部署和维护安全策略,包括安全配置、漏洞...
php防止CSRF(跨站请求伪造)的原理实现示例
孤舟残月梦还长存的专栏
10-13 328
<?php session_start(); //生成随机字符 function randomStr($max = 16){ $str = 'abcdefghijklmnopqrstuvwxyz'. '0123456789'. 'ABCDEFJHIJKLMNOPQRSTUVWXYZ'; $val = ''; $str = str_shuffle($str); //打乱字符 for($i = 0; $i
php防止伪造跨站请求的小招式
红尘道,红尘练心
05-29 191
 伪造跨站请求介绍   伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:   伪造链接,引诱用户点击,或是让用户在不知情的情况下访问   伪造表单,引诱用户提交。表单可以是隐藏的,用图片或链接的形式伪装。   比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变...
Yii 面包屑用法
houxianyj的专栏
04-17 2520
<?php $this->widget('zii.widgets.CBreadcrumbs', array( 'homeLink'=>CHtml::link('首页',Yii::app()->homeUrl), //这里可以修改HOME,变成中文 'links'=>$this->breadcrumbs, )); ?>
【代码】利用php防止用户伪造跨站请求的小技巧
10-10 1773
清源教育php开发课程学习培训之php常用的伪造跨站请求介绍 伪造跨站请求比较难以防范,而且危险系数很大,恶意攻击者经常通过这种方式进行恶作剧,发spam信息,删除网站数据等等。这种常见的攻击表现形式有: 伪造恶意的链接,诱骗用户去点击,或者让用户在毫无防备的情况下访问 伪造提交表单,诱骗用户提交。表单隐藏类型的,用图片或链接的形式伪装。 比较常见并且最常用的防范手段是在
php 接口 防跨站,php开发中可以防跨站请求的几种方法
weixin_42573113的博客
03-11 330
方式1在nginx的php配置中或是在包括的includefastcgi.conf文档中添加:fastcgi_paramPHP_VALUE”open_basedir=$document_root:/tmp/”;方式2在php.ini中配备open_basedir选择项open_basedir=/home/www/www.aaa.com:/home/www/www.bbb.com:/tmp/:/pr...
安全通道以及防止跨站请求伪造
qq_40800349的博客
04-08 475
一.HTTP提交是一个风险极大的事,所以用HTTPS加密运输可以保护用户信息的安全。在configre的HttpSecurity对象提供了一个方法,requiresChannel()方法,借助这个方法,可以为各种url提供要求的通道。如果想用https的通道.requiresChannel .antMatchers("/").requiresSecure()如果还是想用http传送.require...
PHP防止站外表单跨站提交的几种办法详解
Sunny
06-27 1962
http://www.vephp.com/jiaocheng/61.html在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用2、加密令牌:很多CMS会用到这个方式,就是生成一个随机,比如V...
php伪造表单,PHP防止跨站表单提交与同站跨页伪造表单的攻击
weixin_36261487的博客
03-11 177
在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个站点,这样可以防止普通的攻击,ereg("blog.qita.in",$_SERVER['HTTP_REFERER'])不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: blog.qita.in"); 或者在恶意脚本中伪造HTTP头由于HTTP Referer是由客户端浏览器发送的,而不...
理解PHP Token:防止重复提交与CSRF攻击
在Web开发中,防止表单重复提交和抵御CSRF(跨站请求伪造)攻击是重要的安全措施。PHP中,使用Token机制是一种常见的解决方案。本文将详细阐述如何在PHP表单中加入Token,以及其工作原理。 首先,理解Token的含义至...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值