zoukankan      html  css  js  c++  java
  • php 防跨站表单提交

    一种最优方式防跨站表单提交,用户限时token

    就是生成一个随机且变换频繁加密字符串(可逆和不可逆)。放在表单中,等到表单提交后检查。

    这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。

    对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了。不得不重写,这很糟糕的体验。因此,TTL过期时间应可设置。

    下面是一个网上的不可逆的验证方式,值的推荐:

    class Token{
        CONST KEY = "your-secret-salt";
        static $ttl = 3; //$ttl表示这个随机串的有效时间(秒)
        static public function get($uid, $action = -1){
            $i = ceil(time() / self::$ttl);
            return substr(self::challenge($i . $action . $uid), -12, 10);
        }
        static public function verify($uid, $crumb, $action = -1){
            $i = ceil(time() / self::$ttl);
            if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
                substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
                return true;
            return false;
        }
        static private function challenge($data){ //内部私有加密函数
            return hash_hmac('md5', $data, self::KEY);
        }
    }

    使用:

    在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性。

     <input type="hidden" name="crumb" value="<?php echo Token::get($uid)?>">

    在PHP服务器接收端,这样检验。

    <?php
    if(Token::verify($uid, $_POST['token'])){
    //按照正常流程处理表单
    }else{
    //校验失败,错误提示流程
    }

    摘自:http://www.vephp.com/jiaocheng/61.html

  • 相关阅读:
    李航博士:浅谈我对机器学习的理解
    数据挖掘过程中:数据预处理
    C++:构造函数和析构函数能否为虚函数
    PCA的数学原理
    奇异值分解(SVD) --- 几何意义
    3月机器学习在线班第六课笔记--信息熵与最大熵模型
    ML:交叉验证Cross-Validation
    LaTex的注释
    混合高斯模型
    NE2018届校招内推笔试——数据挖掘
  • 原文地址:https://www.cnblogs.com/7qin/p/10708476.html
Copyright © 2011-2022 走看看