>  기사  >  백엔드 개발  >  关于表单跨域提交的防范,一些疑问

关于表单跨域提交的防范,一些疑问

WBOY
WBOY원래의
2016-06-06 20:27:551154검색

今天看到书上写的关于防止跨域提交的方法,他是在表单提交页面生成一个隐藏的input,值是存在session里随机数

index.php页面

<code><?php session_start();
$token = md5(mt_rand());
$_SESSION['token'] = $token;
?>

<form action="b.php" method="post">
<input type="text" name="foo">
<input type="hidden" name="token" value="<?php echo $token?>">
<input type="submit" value="submit">
</form>
</code>

以下是b.php代码

<code>if($_POST['token'] == $_SESSION['token'])
{
    # do code
}</code>

我的疑问是这样真的可以防范跨域吗?假如我现在访问index.php 然后右键查看源代码,把token复制下来,在本地新建一个表单页面,地址也提交到b.php,用复制好的token值,不就完成跨域了吗

谢谢几位的耐心解答,月领的一句话提示了我,我又翻阅了一下书上会话控制这节,简单说一下session机制,不同计算机访问服务器上的index.php脚本,会在你本地设置一个值唯一的session_id的cookie文件,同时服务器上也也会存在一份和你本地session_id值相同的数据,里面保存有$_SESSION['token']的值。所以说由于你本地cookie中session_id的唯一性,不同计算机在服务器上的session数据是不一样的。

回复内容:

今天看到书上写的关于防止跨域提交的方法,他是在表单提交页面生成一个隐藏的input,值是存在session里随机数

index.php页面

<code><?php session_start();
$token = md5(mt_rand());
$_SESSION['token'] = $token;
?>

<form action="b.php" method="post">
<input type="text" name="foo">
<input type="hidden" name="token" value="<?php echo $token?>">
<input type="submit" value="submit">
</form>
</code>

以下是b.php代码

<code>if($_POST['token'] == $_SESSION['token'])
{
    # do code
}</code>

我的疑问是这样真的可以防范跨域吗?假如我现在访问index.php 然后右键查看源代码,把token复制下来,在本地新建一个表单页面,地址也提交到b.php,用复制好的token值,不就完成跨域了吗

谢谢几位的耐心解答,月领的一句话提示了我,我又翻阅了一下书上会话控制这节,简单说一下session机制,不同计算机访问服务器上的index.php脚本,会在你本地设置一个值唯一的session_id的cookie文件,同时服务器上也也会存在一份和你本地session_id值相同的数据,里面保存有$_SESSION['token']的值。所以说由于你本地cookie中session_id的唯一性,不同计算机在服务器上的session数据是不一样的。

首先,按照你说的方法是跨域不了的。

<code>if($_POST['token'] == $_SESSION['token'])
{
    # do code
}
</code>

请注意上面的检验,$_SESSION['token']是什么?
SESSION只对你自己的网页有效,你造吗?

正确的思路是把本地的Cookie(对应着SESSION的信息的)也复制下来,然后发送过去。
然而只用浏览器和手写HTML是没法很简单地完成的。
防止跨域提交只是保证网页不被其它网页的JS攻击而已,不要期待太多。

另外,你要知道网页是对所有人开放的,你的所有可以被访问到的PHP都可能收到各种各样的参数。
黑客攻击、用户滥用、网页BUG……

比如,某个表单需要输入电话号码提交。
用户可能禁用掉JS,然后输入了20位的号码。
黑客可能使用工具,乱发参数试探你的后台代码。
So?
所以你就不写检验电话号码正确性的代码吗?

不能因噎废食啊,骚年。

正常情况下 防止跨域 提交是指的从 domainA 下提交数据到 到 domainB 下的这种情况,
而且正常情况下 domainA 下的页面是没有办法拿到 domainB 域下页面的内容的,
而你直接跳过了浏览器对不同域之间所做的限制(由你自己手工完成token的获取,跨过了不同域下不能得到内容的这个限制), 所以你的这种做法实际上是行不通的(不是指你提交token对方不认可, 而是指你在http/https下是实现不了自动化的).

而且更进一步的, 除了加token之外, 还有一些其他的附加方法,比如检测请求的来源(referer)是否为本站.

是的 没错 跨域只是浏览器本身的安全措施 而且是正规浏览器 从这次xcode事件
妈的万一以后有不按规则玩的浏览器来怎么办
要不为什么我拿了session在flider这种调试工具里就可以随便post
不过session(token)就是用户合法身份的标识 拿这些也是要登录或者鉴权的
唯一的可能就是他是个开发者 或者是个机器人。。。

另外token的更主要用途是防止重复提交 或者csrf

我看着真纠结,那个b.php的处理代码处理完一个表单后就销毁会话token让每次提交处理都是新的token不久解决了跨域问题?楼主说的已经很棒了,补充一下

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.