全部代码如下
首先你在浏览器中运行,打开控制台观察
http://localhost/test.php
<a href="test1.php">跳转到test1</a>
然后跳转到test1.php,代码
<?phpsession_start();require "./test2.php";class A{ function __construct() { $b=new B(); $b->judge(); } function judge() { if($_SESSION['status']==1){ return true; }else{ return false; } } function run() { if($this->judge()){ echo 'success'; }else{ echo 'error'; } }}$a=new A();$a->run();?> 作用是在执行A类方法的时候先判断域名来路,是否来自localhost,是的话,输出success,不是输出error
test2.php代码
<?phpsession_start();class B{ function judge() { echo '<script> var xmlhttp; if (window.ActiveXObject){ xmlhttp = new ActiveXObject("Microsoft.XMLHTTP"); }else{ xmlhttp = new XMLHttpRequest(); } xmlhttp.open("POST", "./test3.php", true); xmlhttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xmlhttp.send("data="+document.referrer); console.log(document.referrer); //控制台观察 xmlhttp.onreadystatechange = function(){ if (xmlhttp.readyState === 4 && xmlhttp.status === 200) { } };</script>'; }}?> test3.php,调用ajax执行文件
<?phpsession_start();if(stristr($_POST['data'], 'localhost')){ $_SESSION['status']=1; }else{ $_SESSION['status']=''; }?>
回复讨论(解决方案)
难点就在于最后输出来的原码是
<script> var xmlhttp; if (window.ActiveXObject){ xmlhttp = new ActiveXObject("Microsoft.XMLHTTP"); }else{ xmlhttp = new XMLHttpRequest(); } xmlhttp.open("POST", "./test3.php", true); xmlhttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xmlhttp.send("data="+document.referrer); console.log(document.referrer); xmlhttp.onreadystatechange = function(){ if (xmlhttp.readyState === 4 && xmlhttp.status === 200) { } };</script>success 那么有人可能会有方法,用php缓存,其实我也试过了
session_start();
class B{
function judge()
{
ob_start();//比如加在这里
echo '<script> <br /> var xmlhttp; <br /> if (window.ActiveXObject){ <br /> xmlhttp = new ActiveXObject("Microsoft.XMLHTTP"); <br /> }else{ <br /> xmlhttp = new XMLHttpRequest(); <br /> } <br /> xmlhttp.open("POST", "./test3.php", true); <br /> xmlhttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); <br /> xmlhttp.send("data="+document.referrer); <br /> console.log(document.referrer); <br /> xmlhttp.onreadystatechange = function(){ <br /> if (xmlhttp.readyState === 4 && xmlhttp.status === 200) { <br /> } <br /> };</script>';
ob_clean()();//比如加在这里
}
}
?>
输出的结果的确是去掉了<script>脚本,但同时里面的语句如,console.log(document.referrer);也不会执行了 </script>
上面的代码忘记用代码格式括起来了,函数写法有误多了(),意思就是那样,我粘贴的时候弄错了
言归正传,大家有什么好的思路吗???
因为头部多了那一段javascript文件,我这里只是简单的输出了字符串,
如果调用html模版,
就会变成
<script>*********</script>
nbsp;html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
我能问一下你处理的问题是想要做什么,还是研究这个问题?因为我没看懂你要干什么,不好意思
说说你想想做什么?遇到了什么问题
说说你想想做什么?遇到了什么问题
这段函数的作用就是当执行一个类中方法的时候,先判断这个请求是不是来自于当前站点,如果是就执行,不是就不执行,
用来防止跨站请求攻击的。
本来打算使用$_SERVER['HTTP_REFERER']来做,但是这个服务端的参数是可以人为伪造的,只有本地的js代码里的
document.referrer才是安全的,所以用这个来判断
看不明白需求,
你都是PHP文件,如果要知道前一页面来源,用$_SERVER['HTTP_REFERER']就可以了,有必要这么麻烦搞JS吗
我能问一下你处理的问题是想要做什么,还是研究这个问题?因为我没看懂你要干什么,不好意思
可以算是技术研究,防止CSRF攻击,就是跨站请求伪造
而且我对调用AJAX执行的那段代码也没信心,正确的做法是ajax返回成功后才继续操作,
而我那样做可行性有待研究,
其实也可以不用按我的思路,
有什么好的方法来说说吧
整个请求都是可以伪造的
这样做确实会给伪造带来困难,但代码会变得很复杂...
可以变通一下,用cookie/session得到用户,得不到就报错。
如果用户请求太频繁就屏蔽请求。然后用缓存实现的话性能应该还可以。
php怎么把负数转为正整数Apr 19, 2022 pm 08:59 PMphp把负数转为正整数的方法:1、使用abs()函数将负数转为正数,使用intval()函数对正数取整,转为正整数,语法“intval(abs($number))”;2、利用“~”位运算符将负数取反加一,语法“~$number + 1”。
php怎么实现几秒后执行一个函数Apr 24, 2022 pm 01:12 PM实现方法:1、使用“sleep(延迟秒数)”语句,可延迟执行函数若干秒;2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句,可延迟执行函数若干秒和纳秒;3、使用“time_sleep_until(time()+7)”语句。
php字符串有没有下标Apr 24, 2022 am 11:49 AMphp字符串有下标。在PHP中,下标不仅可以应用于数组和对象,还可应用于字符串,利用字符串的下标和中括号“[]”可以访问指定索引位置的字符,并对该字符进行读写,语法“字符串名[下标值]”;字符串的下标值(索引值)只能是整数类型,起始值为0。
php怎么除以100保留两位小数Apr 22, 2022 pm 06:23 PMphp除以100保留两位小数的方法:1、利用“/”运算符进行除法运算,语法“数值 / 100”;2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值,并保留两位小数。
php怎么读取字符串后几个字符Apr 22, 2022 pm 08:31 PM在php中,可以使用substr()函数来读取字符串后几个字符,只需要将该函数的第二个参数设置为负值,第三个参数省略即可;语法为“substr(字符串,-n)”,表示读取从字符串结尾处向前数第n个字符开始,直到字符串结尾的全部字符。
php怎么根据年月日判断是一年的第几天Apr 22, 2022 pm 05:02 PM判断方法:1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式;2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的,因此真实天数需要在此基础上加1。
php怎么替换nbsp空格符Apr 24, 2022 pm 02:55 PM方法:1、用“str_replace(" ","其他字符",$str)”语句,可将nbsp符替换为其他字符;2、用“preg_replace("/(\s|\ \;||\xc2\xa0)/","其他字符",$str)”语句。
php怎么查找字符串是第几位Apr 22, 2022 pm 06:48 PM查找方法:1、用strpos(),语法“strpos("字符串值","查找子串")+1”;2、用stripos(),语法“strpos("字符串值","查找子串")+1”。因为字符串是从0开始计数的,因此两个函数获取的位置需要进行加1处理。
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기
WebStorm Mac 버전
유용한 JavaScript 개발 도구
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
