使用会话禁用网站外部的post请求(php安全)
我想禁用从其他url或软件发送的post请求(CSRF攻击) 请注意:(我不想为我的表单设置csrf令牌input) 如果用户登录后我在会话中设置csrf令牌,是否接受?使用会话禁用网站外部的post请求(php安全),php,security,Php,Security,我想禁用从其他url或软件发送的post请求(CSRF攻击) 请注意:(我不想为我的表单设置csrf令牌input) 如果用户登录后我在会话中设置csrf令牌,是否接受? 谢谢如果你想避免CRSF,你没有任何好的选择。$\u SERVER['HTTP\u REFERER']变量经常被设置,并且通常与请求来自的网站相对应,因此您可以使用它来阻止一些外部请求。但是,与来自浏览器的所有数据一样,未经验证,您无法信任它,因此不应将其视为安全数据: 这是由用户代理设置的。并非所有用户代理都将设置此项,并且
谢谢如果你想避免CRSF,你没有任何好的选择。
$\u SERVER['HTTP\u REFERER']setcookie$token = '...'; //<- look up how to generate a good random token
$expire = time()+1800; //expire in 30 minutes
setcookie("XSRF-TOKEN", $token, $expire); /* expire in 1 hour */
$_SESSION['XSRF-TOKEN'] = ['token'=>$token, 'exp'=>$expire];
$request_token = apache_request_headers()['X-XSRF-TOKEN']? : null;
$session_token = $_SESSION['XSRF-TOKEN'];
if($request_token===null) die('Token is missing');
if($session_token['exp'] < time()) die('Token has expired');
if($session_token['token']!==$request_token) die('Token is invalid');
//safe to continue. Repeat step 1 to set a fresh token
$request\u token=apache\u request\u headers()['X-XSRF-token']?:无效的
$session_token=$_session['XSRF-token'];
如果($request_token==null)死亡('token丢失');
如果($session_token['exp']只有能够读取
XSRF-TOKENXSS。在表单中放置令牌也不会保护您免受XSS
攻击。我的意思是我想在javascript for XSS中禁用访问cookie。但是你说(当你的站点发出请求时,使用Javascript从document.cookie中读取令牌,并将下面的标题设置为完全相同的值:)对不起,如果我junior@belletJuice要让上面的CSRF方案工作,Javascript必须能够读取cookie。如果您不希望表单中出现csrf,也不希望JS看到令牌,则无法保护自己不受csrf的影响。保护您的站点免受XSS
攻击是另一个问题。要了解如何处理它,请阅读并
$request_token = apache_request_headers()['X-XSRF-TOKEN']? : null;
$session_token = $_SESSION['XSRF-TOKEN'];
if($request_token===null) die('Token is missing');
if($session_token['exp'] < time()) die('Token has expired');
if($session_token['token']!==$request_token) die('Token is invalid');
//safe to continue. Repeat step 1 to set a fresh token