Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/php/274.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181

Warning: file_get_contents(/data/phpspider/zhask/data//catemap/3/xpath/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Php csrf令牌攻击_Php_Csrf - Fatal编程技术网
Fatal编程技术网
  • php/
  • Php csrf令牌攻击

Php csrf令牌攻击

php

Php csrf令牌攻击,php,csrf,Php,Csrf,请澄清我对CSRF攻击的概念。 在csrf中,我们从隐藏字段发送令牌,即 <input type="hidden" name="csrf-token" value="5487987542hhui67868" /> 我们会在会议的基础上提交表格。 如果攻击者找到我的表单并更改隐藏值并提交表单,则他将成功。 如何防止表单。您可以验证CRSF令牌,如果无效,您可以向用户返回错误 例如: if($_POST['crsf-token'] == $_SESSION['crsf-token'

请澄清我对CSRF攻击的概念。 在csrf中,我们从隐藏字段发送令牌,即

<input type="hidden" name="csrf-token" value="5487987542hhui67868" />
我们会在会议的基础上提交表格。 如果攻击者找到我的表单并更改隐藏值并提交表单,则他将成功。
如何防止表单。

您可以验证CRSF令牌,如果无效,您可以向用户返回错误

例如:

if($_POST['crsf-token'] == $_SESSION['crsf-token'] { 
      ... 
} else { 
     // error
}
如果攻击者使用相同的会话进行攻击,则将是重播攻击。我已经在使用您的逻辑防止重播攻击在第一次验证时取消$U会话['csrf-token']正确吗?