Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181

Warning: file_get_contents(/data/phpspider/zhask/data//catemap/7/user-interface/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Php 什么是安全令牌?为什么在表单中使用它?_Php_Security - Fatal编程技术网
Fatal编程技术网
  • php/
  • Php 什么是安全令牌?为什么在表单中使用它?

Php 什么是安全令牌?为什么在表单中使用它?

php security

Php 什么是安全令牌?为什么在表单中使用它?,php,security,Php,Security,我在许多论坛和其他网站上看到,他们在POST或GET方法中使用安全令牌(一个长字符串)。例如(POST方法): 这个安全令牌是什么?为什么要使用它?它提供什么类型的安全性?应该在哪里使用它?它可能是防止“CSRF”(跨站点请求伪造)的令牌 比如说, 您已登录论坛 你去evilhacker.com evilhacker有一个自动提交表单,可以向论坛发送垃圾邮件 因为您已登录,所以您会(以您的名义)发布垃圾邮件 但由于论坛需要一些与你的会话相关的令牌(因此黑客无法以自己的形式猜到),帖子被拒绝,

我在许多论坛和其他网站上看到,他们在POST或GET方法中使用安全令牌(一个长字符串)。例如(POST方法):

这个安全令牌是什么?为什么要使用它?它提供什么类型的安全性?应该在哪里使用它?

它可能是防止“CSRF”(跨站点请求伪造)的令牌

比如说,

  • 您已登录论坛
  • 你去evilhacker.com
  • evilhacker有一个自动提交表单,可以向论坛发送垃圾邮件
  • 因为您已登录,所以您会(以您的名义)发布垃圾邮件
但由于论坛需要一些与你的会话相关的令牌(因此黑客无法以自己的形式猜到),帖子被拒绝,你也没有发布垃圾邮件

如果您想查看一些详细信息,

它看起来像一个临时文件。但我不确定,除非我看到代码。也可能是。 
<input
    type="hidden"
    name="securitytoken"
    value="1363774829-89afb5d0fbcd2f8d55db0b675061d62bd21ca94e"
/>

http://www.example.com?attribute=xyz&token=f0ec0e8e1622a030cbc543d3ac42729e