PHP项目编码中的CSRF怎么防护?

其实说到CSRF,并不是每个人都能正确地理解,我们可以简单地认为是你发了某个链(伊凡门户)接给对方,对方一点就执行了某操作,也可以复杂地认为是一次成功的社会学攻击。

CSRF是一类较XSS更严重的漏洞,它的产生可能是直接性的,如链接型,也可以是触发式的,如配合XSS来执行。

那么遇到CSRF的(伊凡门户)问题时怎么处理?

这里提供一些常见的解决方式:

1.参数的唯一性,CSRF的利用时常是借用了逻辑上的漏洞,如ID=1\ID=2\ID=3类的,这类逻辑漏洞能让对方很容易就猜到,于是利用起来也是得心应手,怎么防?用GUID或其它自己的算法来生成唯一的标识;

2.Token法,也就是俗称的加权法,增(伊凡门户)加一个唯一性变量,能够确保同一个请求重放时不会再有效用;

3.权限控制,这是基本的也是致命的。

当然有的开发人员很精明地使用了不同的隐藏手段:

1.在header中插入一个键值对;

2.在cookie中插入一个键值对。

你是否还有更精明的方式呢?告诉我们吧!

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • Xshell 是一款非常出色的免费SSH客户端。它功能强悍,具备标签式的环境,动态端口转发,自定义键的映射关系,用户定义的按钮,支持VB脚本,支持UNICODE,支持SSH1、 SSH2, 以及Microsoft Windows 平台的TELNET 协议。 Xshell 通过互联网到远程主机的安全连...
  • 一、安装Tomcat和JDK 1、上传apache-tomcat-6.0.18.tar.gz和jdk-6u12-linux-i586.bin至/usr/local 2、执行如下命令安装tomcat: #cd /usr/local #tar zxvf apache-tomcat-6.0.18.tar....
  • 在Linux系统上架设ASP.NET网站项目已经在圈子中流行,而“Mono+Jexus”架构模式是Linux承载ASP.NET企业级应用的极为重要的架构方式。 这种架构中,Jexus很好安装、配置,基本上就是一个下载、解压、复制的过程,但是用源码安装Mono就麻烦一些,特别是才从Windows转向L...
  • 在Windows使用的过程中可能因为某些情况,产生了一些类似“aa ”、“bb .”之类的,我们在删除时是无法正常删除的,那么该怎么办? 示例: 在C盘下有文件夹“test .”,用普通方法是不行的。我们将利用CMD下的DOS环境操作删除。 执行: rd /s /q “C:\test ....
  • 科普下: build.prop 是Android系统中一个类似于Windows系统注册表的文件,该文件内定义了系统初始(或永久)的一些参数属性、功能的开放等。并且在 Android中虽然每一版都有自己独有的参数,但绝大部分都是通用的,且可以起到关键性作用的。 参数粗解: ro.build.id=&n...
微信扫一扫即可带走我!