Heim  >  Artikel  >  Backend-Entwicklung  >  关于表单跨域提交的防范,一些疑问

关于表单跨域提交的防范,一些疑问

WBOY
WBOYOriginal
2016-06-06 20:27:551154Durchsuche

今天看到书上写的关于防止跨域提交的方法,他是在表单提交页面生成一个隐藏的input,值是存在session里随机数

index.php页面

<code><?php session_start();
$token = md5(mt_rand());
$_SESSION['token'] = $token;
?>

<form action="b.php" method="post">
<input type="text" name="foo">
<input type="hidden" name="token" value="<?php echo $token?>">
<input type="submit" value="submit">
</form>
</code>

以下是b.php代码

<code>if($_POST['token'] == $_SESSION['token'])
{
    # do code
}</code>

我的疑问是这样真的可以防范跨域吗?假如我现在访问index.php 然后右键查看源代码,把token复制下来,在本地新建一个表单页面,地址也提交到b.php,用复制好的token值,不就完成跨域了吗

谢谢几位的耐心解答,月领的一句话提示了我,我又翻阅了一下书上会话控制这节,简单说一下session机制,不同计算机访问服务器上的index.php脚本,会在你本地设置一个值唯一的session_id的cookie文件,同时服务器上也也会存在一份和你本地session_id值相同的数据,里面保存有$_SESSION['token']的值。所以说由于你本地cookie中session_id的唯一性,不同计算机在服务器上的session数据是不一样的。

回复内容:

今天看到书上写的关于防止跨域提交的方法,他是在表单提交页面生成一个隐藏的input,值是存在session里随机数

index.php页面

<code><?php session_start();
$token = md5(mt_rand());
$_SESSION['token'] = $token;
?>

<form action="b.php" method="post">
<input type="text" name="foo">
<input type="hidden" name="token" value="<?php echo $token?>">
<input type="submit" value="submit">
</form>
</code>

以下是b.php代码

<code>if($_POST['token'] == $_SESSION['token'])
{
    # do code
}</code>

我的疑问是这样真的可以防范跨域吗?假如我现在访问index.php 然后右键查看源代码,把token复制下来,在本地新建一个表单页面,地址也提交到b.php,用复制好的token值,不就完成跨域了吗

谢谢几位的耐心解答,月领的一句话提示了我,我又翻阅了一下书上会话控制这节,简单说一下session机制,不同计算机访问服务器上的index.php脚本,会在你本地设置一个值唯一的session_id的cookie文件,同时服务器上也也会存在一份和你本地session_id值相同的数据,里面保存有$_SESSION['token']的值。所以说由于你本地cookie中session_id的唯一性,不同计算机在服务器上的session数据是不一样的。

首先,按照你说的方法是跨域不了的。

<code>if($_POST['token'] == $_SESSION['token'])
{
    # do code
}
</code>

请注意上面的检验,$_SESSION['token']是什么?
SESSION只对你自己的网页有效,你造吗?

正确的思路是把本地的Cookie(对应着SESSION的信息的)也复制下来,然后发送过去。
然而只用浏览器和手写HTML是没法很简单地完成的。
防止跨域提交只是保证网页不被其它网页的JS攻击而已,不要期待太多。

另外,你要知道网页是对所有人开放的,你的所有可以被访问到的PHP都可能收到各种各样的参数。
黑客攻击、用户滥用、网页BUG……

比如,某个表单需要输入电话号码提交。
用户可能禁用掉JS,然后输入了20位的号码。
黑客可能使用工具,乱发参数试探你的后台代码。
So?
所以你就不写检验电话号码正确性的代码吗?

不能因噎废食啊,骚年。

正常情况下 防止跨域 提交是指的从 domainA 下提交数据到 到 domainB 下的这种情况,
而且正常情况下 domainA 下的页面是没有办法拿到 domainB 域下页面的内容的,
而你直接跳过了浏览器对不同域之间所做的限制(由你自己手工完成token的获取,跨过了不同域下不能得到内容的这个限制), 所以你的这种做法实际上是行不通的(不是指你提交token对方不认可, 而是指你在http/https下是实现不了自动化的).

而且更进一步的, 除了加token之外, 还有一些其他的附加方法,比如检测请求的来源(referer)是否为本站.

是的 没错 跨域只是浏览器本身的安全措施 而且是正规浏览器 从这次xcode事件
妈的万一以后有不按规则玩的浏览器来怎么办
要不为什么我拿了session在flider这种调试工具里就可以随便post
不过session(token)就是用户合法身份的标识 拿这些也是要登录或者鉴权的
唯一的可能就是他是个开发者 或者是个机器人。。。

另外token的更主要用途是防止重复提交 或者csrf

我看着真纠结,那个b.php的处理代码处理完一个表单后就销毁会话token让每次提交处理都是新的token不久解决了跨域问题?楼主说的已经很棒了,补充一下

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn