php中防止伪造跨站请求的小招式

2025-01-15 阅读 355 评论 8 点赞 245

摘要：伪造跨站请求介绍　　伪造跨站请求比较难以防范，而且危害巨大，攻击者可以通过这种方式恶作剧，发spam信息，删除数据等等。这种攻击常见的表现形式有：　　伪造链接，引诱用户点击，或是让用户在不知情的情况下访问　　伪造表单，引诱用户提交。表单可以是隐藏的，用图片

伪造跨站请求介绍
　　伪造跨站请求比较难以防范，而且危害巨大，攻击者可以通过这种方式恶作剧，发spam信息，删除数据等等。这种攻击常见的表现形式有：
　　伪造链接，引诱用户点击，或是让用户在不知情的情况下访问
　　伪造表单，引诱用户提交。表单可以是隐藏的，用图片或链接的形式伪装。
　　比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串，然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话，那么攻击者伪造请求会比较麻烦。
　　yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法，它的表单里常常会有post_form_id和fb_dtsg。
　　随机串代码实现
　　咱们按照这个思路，山寨一个crumb的实现，代码如下：

复制代码代码如下:

<?php
class crumb {
const salt = "your-secret-salt";
static $ttl = 7200;
static public function challenge($data) {
return hash_hmac('md5', $data, self::salt);
}
static public function issuecrumb($uid, $action = -1) {
$i = ceil(time() / self::$ttl);
return substr(self::challenge($i . $action . $uid), -12, 10);
}
static public function verifycrumb($uid, $crumb, $action = -1) {
$i = ceil(time() / self::$ttl);
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
return true;
return false;
}
}

代码中的$uid表示用户唯一标识，而$ttl表示这个随机串的有效时间。
　　应用示例
　　构造表单
　　在表单中插入一个隐藏的随机串crumb

复制代码代码如下:

 
<form method="post" action="demo.php"> 
<input type="hidden" name="crumb" value="<?php echo crumb::issuecrumb($uid)?>"> 
<input type="text" name="content"> 
<input type="submit"> 
</form> 

处理表单 demo.php
　　对crumb进行检查

复制代码代码如下:

 
<?php 
if(crumb::verifycrumb($uid, $_post['crumb'])) { 
//按照正常流程处理表单 
} else { 
//crumb校验失败，错误提示流程 
} 
?> 

原文链接：https://www.weihangapi.cn/php/1849.html

上一篇：PHP设计模式之装饰者模式代码实例

下一篇：php使用GD创建保持宽高比缩略图的方法

标签：php php教程

评论列表:

helloword
发布于 3天前回复该评论
谢谢分享！

helloword
发布于 3天前回复该评论
又学到了新知识！

weihang666
发布于 3天前回复该评论
写的很不错，学到了！

weihang666
发布于 3天前回复该评论
又学到了新知识！

henbucuo
发布于 2天前回复该评论
666666

weihang233
发布于 2天前回复该评论
感谢分享！

xiedaimade
发布于 2天前回复该评论
好好！

xiaoming22
发布于 2天前回复该评论
谢谢分享！

显示更多评论

发表评论:

管理员

承接各种程序开发，外贸网站代运营，外贸网站建设等项目

内容2460
积分67666
金币86666