Php CSRF-同一浏览器应用程序的多个实例
打开浏览器并输入管理员的URL并成功登录,转到名为“公告”的内部页面并添加新公告。打开了一个带有表单操作和隐藏字段的记事本write miscellaneous html页面,以删除添加的公告和隐藏的CSRF令牌,我可以从已打开的浏览器选项卡中了解到这一点。下一步,在同一浏览器中打开“新建”选项卡,并使用“提交”打开“杂项html”页面,这删除了添加的公告,因为CSRF令牌匹配。如何预防?我使用PHP5完成了这项工作。您不需要防止这种情况发生-攻击者将无法从当前用户的会话中读取CSRF令牌-CSRF令牌应绑定到每个用户会话。除了生成CSRF令牌的会话之外,不可能在会话中使用CSRF令牌Php CSRF-同一浏览器应用程序的多个实例,php,csrf,Php,Csrf,打开浏览器并输入管理员的URL并成功登录,转到名为“公告”的内部页面并添加新公告。打开了一个带有表单操作和隐藏字段的记事本write miscellaneous html页面,以删除添加的公告和隐藏的CSRF令牌,我可以从已打开的浏览器选项卡中了解到这一点。下一步,在同一浏览器中打开“新建”选项卡,并使用“提交”打开“杂项html”页面,这删除了添加的公告,因为CSRF令牌匹配。如何预防?我使用PHP5完成了这项工作。您不需要防止这种情况发生-攻击者将无法从当前用户的会话中读取CSRF令牌-CS
任何不这样做的实现都是有缺陷的。需要更多帮助吗?如果是,我会更新我的答案。是的,请更新你的答案。你能详细说明我应该如何扩展它来帮助你吗?