php安全开发 添加随机字符串验证,防止伪造跨站请求
发布时间:2020-12-13 06:14:20 所属栏目:PHP教程 来源:网络整理
导读:yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处
|
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了 随机串代码实现 代码如下: class Crumb {
CONST SALT = "your-secret-salt"; static $ttl = 7200; static public function challenge($data) { return hash_hmac('md5',$data,self::SALT); } static public function issueCrumb($uid,$action = -1) { $i = ceil(time() / self::$ttl); return substr(self::challenge($i . $action . $uid),-12,10); } static public function verifyCrumb($uid,$crumb,$action = -1) { $i = ceil(time() / self::$ttl); if(substr(self::challenge($i . $action . $uid),10) == $crumb || substr(self::challenge(($i - 1) . $action . $uid),10) == $crumb) return true; return false; } } 代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。 代码如下: 处理表单 demo.php 对crumb进行检查 代码如下: if(Crumb::verifyCrumb($uid,$_POST['crumb'])) { //按照正常流程处理表单 } else { //crumb校验失败,错误提示流程 } 本文出自包子博客 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |