PHP项目编码中的CSRF怎么防护?

其实说到CSRF,并不是每个人都能正确地理解,我们可以简单地认为是你发了某个链(伊凡门户)接给对方,对方一点就执行了某操作,也可以复杂地认为是一次成功的社会学攻击。

CSRF是一类较XSS更严重的漏洞,它的产生可能是直接性的,如链接型,也可以是触发式的,如配合XSS来执行。

那么遇到CSRF的(伊凡门户)问题时怎么处理?

这里提供一些常见的解决方式:

1.参数的唯一性,CSRF的利用时常是借用了逻辑上的漏洞,如ID=1\ID=2\ID=3类的,这类逻辑漏洞能让对方很容易就猜到,于是利用起来也是得心应手,怎么防?用GUID或其它自己的算法来生成唯一的标识;

2.Token法,也就是俗称的加权法,增(伊凡门户)加一个唯一性变量,能够确保同一个请求重放时不会再有效用;

3.权限控制,这是基本的也是致命的。

当然有的开发人员很精明地使用了不同的隐藏手段:

1.在header中插入一个键值对;

2.在cookie中插入一个键值对。

你是否还有更精明的方式呢?告诉我们吧!

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 常见可能情况仅供参考 1、系统有其余版本Office的残留信息 2、缺少更新 3、安装过程所需关键组件被阉割 也就是说,大体是上述的问题导致的。 首先,卸载原来的不完全,可以通过微软的专用Office卸载工具来清理,网上有,自己搜索下。然后是更新问题,请更新上系统的补丁,如win8.1安装offic...
  • Resource Hacker 原生免费无广告,主要用于察看、反汇编和取代 Windows 可执行程序中的资源,支持 Delphi 7 和 C++ Builder。这款小巧的资源察看器、资源替换修改工具非常的简单实用,它还内置了内部资源编译器和反编译器。 功能特点 1、查看Windows ...
  • 开机弹出一个错误窗口,让查看事件查看器。 详情可能是: 由于下列错误,Parallel port driver 服务启动失败: 无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动。有人说找到系统服务把这项关了就可以,可系统服务中根本找不到对应的服务。这个错误出现的原因可能是并口已经在bios...
  • 原因在于导出activity,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意调用,应用会产生拒绝服务等问题。 遇到这样的问题,如果它们只被同一个软件中的代码调用,将activity属性改为android:exported=”false”,如果组件需要对外暴露,应该通...
  • 1、各种网上单据泄露个人信息 快递包装上的物流单含有网购者的姓名、电话、住址等信息,除却网友收到货物后不经意把快递单扔掉导致信息泄露,快递员也可能出卖收件人的信息;火车票实行实名制后,车票上便印有购票者的姓名、身份证等信息,很多网友在乘坐完火车后,会顺手丢弃火车票,不法分子一旦捡到,则会通过读票仪器...
微信扫一扫即可带走我!