suchen
HeimBackend-EntwicklungPHP-Tutorial一个重大困惑难题,怎么有效防止CSRF攻击

一个重大困惑难题,怎么有效防止CSRF攻击

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jun 13, 2016 am 11:57 AM
ajaxhttpnbsprefererserver

一个重大困惑难题,如何有效防止CSRF攻击
网上有种方法是使用
$_SERVER['HTTP_REFERER']
但是有文章又指出
referer可以伪造的
例如
header("referer:www.aaa.com")
……
?>
我试了一下,貌似用header发送在控制台台里看到referer是变化了
但是$_SERVER['HTTP_REFERER']是空的,说明似乎没问题
那到底这个参数行不行呢?能不能防止呢?
------解决方案--------------------
CSRF通过伪装来自受信任用户的请求来利用受信任的网站

那么用 $_SERVER['HTTP_REFERER'] 显然是不可以的,因为这是可伪造的(你也是知道的)
对于表单,你可以放置一个即时发放的随机串(token)或验证码
对于普通页,你可以通过 ajax 获取一个通行字(因为 ajax 是不可跨域的,且模拟 js 行为技术难度较大)
你也可以通过页面中后期加载的对象(比如图片、js 文件)来传递附加的 cookie 变量
被动防御时,可过滤掉页面中非已知的连接

------解决方案--------------------
你百度 curl模拟登陆 很多相关的资料. PHP实战QQ群:  33918040

Stellungnahme
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Verwandter Artikel
Was ist Abhängigkeitsinjektion in PHP?Was ist Abhängigkeitsinjektion in PHP?May 07, 2025 pm 03:09 PM

AbhängigkeitsinjektionInphpisadelPatternThatenhancesFlexibilität, Testbarkeit und MaschinenbarkeitbyprovidexternaldePendenclasses.itallowsforlocoppling, EaserTesting Throughmocking und Modulardesign, ButrequiresfulstructionoVoidover-In-Inje-Inje-Inje

Beste PHP -LeistungsoptimierungstechnikenBeste PHP -LeistungsoptimierungstechnikenMay 07, 2025 pm 03:05 PM

Die PHP -Leistungsoptimierung kann in den folgenden Schritten erreicht werden: 1) Verwenden Sie Request_once oder include_once oben im Skript, um die Anzahl der Dateilasten zu reduzieren. 2) Verwenden Sie Vorverarbeitungsanweisungen und Stapelverarbeitung, um die Anzahl der Datenbankabfragen zu verringern. 3) Opcache für Opcode -Cache konfigurieren; 4) Aktivieren und Konfigurieren von PHP-FPM-Optimierungsprozessmanagement; 5) Verwenden Sie CDN, um statische Ressourcen zu verteilen. 6) XDEBUG oder Blackfire für die Code -Leistungsanalyse verwenden. 7) Wählen Sie effiziente Datenstrukturen wie Arrays; 8) Schreiben Sie den modularen Code für die Optimierungsausführung.

PHP -Leistungsoptimierung: Verwenden von Opcode -CachingPHP -Leistungsoptimierung: Verwenden von Opcode -CachingMay 07, 2025 pm 02:49 PM

OpcodecachingsidesignifictimProvePhpperformanceByCachingCompiledCode, reduziererverladung und responsetimes.1) itStoresCompiledPhpCodeInmemory, BypassingParsingandCompiling.2) useopcacheBysetingParameterphp.ini, LikeemoryConsumnitlimits

PHP -Abhängigkeitsinjektion: Wartbarkeit des Codes steigernPHP -Abhängigkeitsinjektion: Wartbarkeit des Codes steigernMay 07, 2025 pm 02:37 PM

Die Abhängigkeitsinjektion liefert Objektabhängigkeiten durch externe Injektion in PHP, wodurch die Wartbarkeit und Flexibilität des Codes verbessert wird. Zu den Implementierungsmethoden gehören: 1. Konstruktorinjektion, 2. Werteinspritzung, 3. Schnittstelleninjektion. Die Verwendung der Abhängigkeitsinjektion kann entkoppeln, die Testbarkeit und Flexibilität verbessern, aber der Möglichkeit einer Steigerung der Komplexität und der Leistungsaufwand gelegt werden.

So implementieren Sie die Abhängigkeitsinjektion in PHPSo implementieren Sie die Abhängigkeitsinjektion in PHPMay 07, 2025 pm 02:33 PM

Die Implementierung der Abhängigkeitsinjektion (DI) in PHP kann durch manuelle Injektion oder Verwendung von DI -Behältern erfolgen. 1) Manuelle Injektion führt Abhängigkeiten über Konstruktoren wie die injizierende Logger der Userservice -Klasse. 2) Verwenden Sie DI -Container, um Abhängigkeiten wie die Containerklasse automatisch zu verwalten, um Logger und Userservice zu verwalten. Durch die Implementierung von DI kann die Flexibilität und Testbarkeit der Code verbessern.

Was ist der Unterschied zwischen UnSet () und Session_Destroy ()?Was ist der Unterschied zwischen UnSet () und Session_Destroy ()?May 04, 2025 am 12:19 AM

ThedifferencebetweenUnset () undsesion_destroy () isHatunset () clearsSesionSessionVariables whilepingTheSessionActive, whire eassession_destroy () terminatesthectheentireSession.1) UseUnset () toremovespecificSessionvariables ohnemacht

Was sind klebrige Sitzungen (Sitzungsaffinität) im Kontext des Lastausgleichs?Was sind klebrige Sitzungen (Sitzungsaffinität) im Kontext des Lastausgleichs?May 04, 2025 am 12:16 AM

StickySessionSesionSureSerRequestSareroutedTothesamerverForSessionDataconsistency.1) SessionidentificationSignSuServerSuSuSuSingCookieSorUrlmodificificificifications.2) KonsistentroutingDirectsSubsequestRequestTothSameServer.3) LastbalancedistributeNeNewuser

Was sind die verschiedenen Sitzungsspeicher -Handler in PHP verfügbar?Was sind die verschiedenen Sitzungsspeicher -Handler in PHP verfügbar?May 04, 2025 am 12:14 AM

PhpoffersVariousSsionsAVEHandlers: 1) Dateien: Standard, SimpleButMayBottleneckonHigh-Trafficsites.2) Memcached: Hochleistungs-Ideforspeed-kritische Anpassungen.3) Redis: Similartomemez, withaddedPersi.

See all articles

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

Video Face Swap

Video Face Swap

Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!

Mehr anzeigen

Heißer Artikel

Wie kann ich KB5055523 in Windows 11 nicht installieren?
3 Wochen vorByDDD
Wie kann ich KB5055518 in Windows 10 nicht installieren?
3 Wochen vorByDDD
<🎜>: Dead Rails - wie man Wölfe zähme
1 Monate vorByDDD
Kraftstufen für jeden Feind & Monster in R.E.P.O.
1 Monate vorBy尊渡假赌尊渡假赌尊渡假赌
<🎜>: Wachsen Sie einen Garten - Komplette Mutationsführer
2 Wochen vorByDDD
Mehr anzeigen

Heiße Werkzeuge

EditPlus chinesische Crack-Version

EditPlus chinesische Crack-Version

Geringe Größe, Syntaxhervorhebung, unterstützt keine Code-Eingabeaufforderungsfunktion

WebStorm-Mac-Version

WebStorm-Mac-Version

Nützliche JavaScript-Entwicklungstools

DVWA

DVWA

Damn Vulnerable Web App (DVWA) ist eine PHP/MySQL-Webanwendung, die sehr anfällig ist. Seine Hauptziele bestehen darin, Sicherheitsexperten dabei zu helfen, ihre Fähigkeiten und Tools in einem rechtlichen Umfeld zu testen, Webentwicklern dabei zu helfen, den Prozess der Sicherung von Webanwendungen besser zu verstehen, und Lehrern/Schülern dabei zu helfen, in einer Unterrichtsumgebung Webanwendungen zu lehren/lernen Sicherheit. Das Ziel von DVWA besteht darin, einige der häufigsten Web-Schwachstellen über eine einfache und unkomplizierte Benutzeroberfläche mit unterschiedlichen Schwierigkeitsgraden zu üben. Bitte beachten Sie, dass diese Software

mPDF

mPDF

mPDF ist eine PHP-Bibliothek, die PDF-Dateien aus UTF-8-codiertem HTML generieren kann. Der ursprüngliche Autor, Ian Back, hat mPDF geschrieben, um PDF-Dateien „on the fly“ von seiner Website auszugeben und verschiedene Sprachen zu verarbeiten. Es ist langsamer und erzeugt bei der Verwendung von Unicode-Schriftarten größere Dateien als Originalskripte wie HTML2FPDF, unterstützt aber CSS-Stile usw. und verfügt über viele Verbesserungen. Unterstützt fast alle Sprachen, einschließlich RTL (Arabisch und Hebräisch) und CJK (Chinesisch, Japanisch und Koreanisch). Unterstützt verschachtelte Elemente auf Blockebene (wie P, DIV),

Herunterladen der Mac-Version des Atom-Editors

Herunterladen der Mac-Version des Atom-Editors

Der beliebteste Open-Source-Editor

Mehr anzeigen

Heiße Themen

Java-Tutorial
1662
14
CakePHP-Tutorial
1419
52
Laravel-Tutorial
1312
25
PHP-Tutorial
1262
29
C#-Tutorial
1235
24
Mehr anzeigen