php – 防止CSRF漏洞,CSRF令牌的替代方法
发布时间:2020-12-13 22:48:01 所属栏目:PHP教程 来源:网络整理
导读:防止CSRF的常用方法是使用隐藏在表单中的令牌.只是出于好奇,这是实际阻止CSRF的唯一方法吗?人们争论不需要CSRF令牌让我发疯,我需要理解为什么.我怎样才能防止CSRF攻击? 解决方法 实际上使用CSRF令牌只是另一层防御.根据 OWASP Cross-Site Request Forgery
|
防止CSRF的常用方法是使用隐藏在表单中的令牌.只是出于好奇,这是实际阻止CSRF的唯一方法吗?人们争论不需要CSRF令牌让我发疯,我需要理解为什么.我怎样才能防止CSRF攻击?
解决方法
实际上使用CSRF令牌只是另一层防御.根据
OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet,验证请求来源也可用于CSRF保护.要验证我们可以使用的原点,
> Origin Header > Origin header包括发起请求的方案,主机和端口的信息. > Referer Header > Referer header包含上一个网页的地址,其中包含指向当前请求网页的链接. 但是,使用此方法存在一些限制,例如标头的不可用性和完整性.攻击者可以通过多种方式更改这些标头的值.因此,建议始终具有多层防御. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |