PHP项目编码中的CSRF怎么防护?

其实说到CSRF,并不是每个人都能正确地理解,我们可以简单地认为是你发了某个链(伊凡门户)接给对方,对方一点就执行了某操作,也可以复杂地认为是一次成功的社会学攻击。

CSRF是一类较XSS更严重的漏洞,它的产生可能是直接性的,如链接型,也可以是触发式的,如配合XSS来执行。

那么遇到CSRF的(伊凡门户)问题时怎么处理?

这里提供一些常见的解决方式:

1.参数的唯一性,CSRF的利用时常是借用了逻辑上的漏洞,如ID=1\ID=2\ID=3类的,这类逻辑漏洞能让对方很容易就猜到,于是利用起来也是得心应手,怎么防?用GUID或其它自己的算法来生成唯一的标识;

2.Token法,也就是俗称的加权法,增(伊凡门户)加一个唯一性变量,能够确保同一个请求重放时不会再有效用;

3.权限控制,这是基本的也是致命的。

当然有的开发人员很精明地使用了不同的隐藏手段:

1.在header中插入一个键值对;

2.在cookie中插入一个键值对。

你是否还有更精明的方式呢?告诉我们吧!

相关推荐:
APKDB是一款,免费的,针对Android OS系统用的APP及相关文件,直接反编译修改的工具,集合了当今最强悍,最犀利的与Android相关编译工具,如Apktool,Smali等等。正常安装后,它直接会在鼠标右键创建【使用 …
选项->参数设置->传送->传送模式->二进制(图象) 接着确认就行了。
macOS上安装软件时会遇到有时候我们可能需要解包 PKG 格式的安装文件包,在 OS X 系统下完成该操作并不需要你额外再安装软件,系统内置的命令就可以。 步骤也比较简单(进入pkg所在目录): xar -xf target …
1.使用特定的命令 命令:SET PASSWORD FOR 'username'@'host' = PASSWORD('newpassword'); 例子:SET PASSWORD FOR 'test'@'localhost' = PASSWORD("test"); 2.使用常规的更新SQL语句 update mysql.user se …
SSH服务是管理linux平台的最便捷的方式之一,但是若你在未配置私钥的情况下进行管理时,恶意者也会通过手段来扫描你的SSH服务,从而进行暴力破解或攻击。 SSH服务被暴力破解很可能直接危及你的linux平台安 …
拿起手机扫一扫即可带走我!