一個重大困惑難題,如何有效防止CSRF攻擊

來源:互聯網
上載者:User
網上有種方法是使用
$_SERVER['HTTP_REFERER']
但是有文章又指出
referer可以偽造的
例如
header("referer:www.aaa.com")
……
?>
我試了一下,貌似用header發送在控制台台裡看到referer是變化了
但是$_SERVER['HTTP_REFERER']是空的,說明似乎沒問題
那到底這個參數行不行呢?能不能防止呢?


回複討論(解決方案)

CSRF通過偽裝來自受信任使用者的請求來利用受信任的網站

那麼用 $_SERVER['HTTP_REFERER'] 顯然是不可以的,因為這是可偽造的(你也是知道的)
對於表單,你可以放置一個即時發放的隨機串(token)或驗證碼
對於普通頁,你可以通過 ajax 擷取一個通行字(因為 ajax 是不可跨域的,且類比 js 行為技術難度較大)
你也可以通過頁面中後期載入的對象(比片、js 檔案)來傳遞附加的 cookie 變數
被動防禦時,可過濾掉頁面中非已知的串連

$ch = curl_init();$opts = array(CURLOPT_URL    => 'http://your web/test.php',CURLOPT_RETURNTRANSFER => true,CURLOPT_REFERER   => 'http://spider.baidu.com/', //偽造refererCURLOPT_HTTPHEADER   => array("Expect: ",),);curl_setopt_array($ch, $opts);$s = curl_exec($ch);

你在 'http://your web/test.php' 指令碼拿到的refer就是那個spider.baidu.com了
偽造應該是這個意思

你百度 curl類比登陸 很多相關的資料. PHP實戰QQ群: 33918040

OK,我再研究研究~~

  • 聯繫我們

    該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

    如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

    A Free Trial That Lets You Build Big!

    Start building with 50+ products and up to 12 months usage for Elastic Compute Service

    • Sales Support

      1 on 1 presale consultation

    • After-Sales Support

      24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.