PHP防止站外表单跨站提交的几种办法详解

清疚 2022-05-21 01:54 215阅读 0赞

http://www.vephp.com/jiaocheng/61.html

在众多功击手段中，有一种是功击者自己伪造了一个和你网站一样的表单，然后在他自己站内或别处，向你的网站提交。

这种跨站和XSS不一样，是为了提交表单数据到你的网站，给安全造成了问题。

对于这类的功击，有几种方式：

1、传统的浅层阻止：这个是最常用的。但是其实根本没用

![70][]

2、加密令牌：

很多CMS会用到这个方式，就是生成一个随机串，比如VE[PHP][] ， 然后随表单生成一个隐藏域<input type="hidden" value="vephp" name="chk" /> 并把这个值保存到服务器的SESSION上。

等到用户提交后，检查这个表单值和SESSION对比，不符就阻止。

不过，这个方式如果用户多的话，会造成大量的SESSION，消耗服务器资源。不推荐。一种优化的方式是把这个口令放在CACHE系统中,但是因为缓存会不定时清除，所以也有问题。

3、加密方式：

推荐这种方式：分为单向加密和可逆向加密。

就是生成一个随机且变换频繁加密字符串（可逆和不可逆）。跟方式2一样放在表单中。等到表单提交后检查。

这个随机字符串如果和当前用户身份相关联的话，那么攻击者伪造请求会比较麻烦。

对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法，它的表单里常常会有post\_form\_id和fb\_dtsg。这种方式中，字符串的有效时间要设置好，太短了用户体验不好，比如好不容易写好文章提交，令牌却到期了。不得不重写，这很糟糕的体验。因此，TTL过期时间应可设置。

下面是一个网上的不可逆的验证方式，值的推荐：

![70 1][]

使用：

在表单中插入一个隐藏的随机串crumb，其中，$uid可以是会员的ID，这样就有独立性。

![70 2][]

在PHP服务器接收端，这样检验。默认下这个字串的有效期是7200秒。

![70 3][]

上面这种是不可逆的加密，

有时，我们还希望在表单中加入私密数据，跟随用户表单加密串一直生成，在前端不被用户看到，这样就可以用到可解密的函数，生成的字串在PHP端解密，起到2个作用：

1、得到私密数据。

2、验证表单来源的合法性。

[70]: /images/20220521/71050b6e184f48019ef772a4294ce25a.png
[PHP]: http://www.vephp.com/
[70 1]: /images/20220521/2cf422b4e7144670abcec4b5c3b5a202.png
[70 2]: /images/20220521/b6d4ea9323a745c482f0078dfb08c998.png
[70 3]: /images/20220521/28bb86cc27924df7802d3fbd3a3f6e18.png

发表评论取消回复

表情：

评论列表（有 0 条评论，215人围观）

还没有评论，来说两句吧...

相关阅读

相关 Nginx 防止跨站脚本 Cross-Site Scripting (XSS)

1、修改 nginx 配置在 nginx.conf 配置文件中，增加如下配置内容： add_header X-XSS-Protection "1; mode=

╰+攻爆jí腚メ/ 2024年03月02日 10:32/ 0 赞/ 32 阅读

相关防止表单重复提交的几种方法（转）

防止表单重复提交的几种方法在使用action处理表单(写入数据库操作)的过程,往往会出现重复插入数据库的现像,为防止这一现象的发生,给数据库带来不必要的垃圾数据,对重复提

╰半夏微凉°/ 2022年09月28日 01:28/ 0 赞/ 190 阅读

相关 nginx+php使用open_basedir限制站点目录防止跨站

以下三种设置方法均需要PHP版本为5.3或者以上。方法1）在Nginx配置文件中加入 <table> <tbody> <tr> <td>

冷不防/ 2022年08月18日 05:53/ 0 赞/ 82 阅读

相关 nginx+php使用open_basedir限制站点目录防止跨站

以下三种设置方法均需要PHP版本为5.3或者以上。方法1）在Nginx配置文件中加入 <table style="font-family:Monaco,Me

谁践踏了优雅/ 2022年08月06日 13:27/ 0 赞/ 99 阅读

相关 cookie session sso单点登录 session共享跨主站/不跨主站

> 关于cookie和session其实原理非常简单，但长久以来不知道什么原因总是感觉没有完全搞明白其中的原理，甚至是基本原理，终于找到了答案，原来是一直就没有真正搞懂过，试想

桃扇骨/ 2022年05月24日 08:26/ 0 赞/ 182 阅读

相关 PHP防止站外表单跨站提交的几种办法详解

http://www.vephp.com/jiaocheng/61.html 在众多功击手段中，有一种是功击者自己伪造了一个和你网站一样的表单，然后在他自己站内或别处，

清疚/ 2022年05月21日 01:54/ 0 赞/ 216 阅读

相关 SpringMVC 跨站脚本攻击防护（防止XSS攻击）

SpringMVC 跨站脚本攻击防护（防止XSS攻击） SpringBoot参考[SpringBoot 自定义ConfigurableWebBindingInitiali

比眉伴天荒/ 2022年03月31日 06:48/ 0 赞/ 762 阅读

相关防止跨站攻击和sql注入的方法

[2019独角兽企业重金招聘Python工程师标准>>> ][2019_Python_] ![hot3.png][] 防止跨站攻击即防止js的执行转义js标签，防止SQL注入

￡神魔★判官ぃ/ 2022年01月13日 06:45/ 0 赞/ 291 阅读

相关 JavaWeb防止表单重复提交的几种方式

一、表单重复提交的常见应用场景 1. 网络延迟的情况下用户多次点击submit按钮导致表单重复提交 2. 用户提交表单后，点击【刷新】按钮导致表单重复提交（点击浏览器的刷

╰+哭是因爲堅強的太久メ/ 2021年12月20日 16:37/ 0 赞/ 273 阅读

相关防止表单重复提交的几种方法

表单重复提交是在Web应用中经常遇到的一个比较麻烦的问题。有很多应用场景都会遇到重复提交问题，比如：点击提交按钮两次。点击刷新按钮。使用浏览器后退按钮

分手后的思念是犯贱/ 2021年06月24日 16:11/ 0 赞/ 525 阅读