Php csrf令牌攻击
请澄清我对CSRF攻击的概念。 在csrf中,我们从隐藏字段发送令牌,即Php csrf令牌攻击,php,csrf,Php,Csrf,请澄清我对CSRF攻击的概念。 在csrf中,我们从隐藏字段发送令牌,即 <input type="hidden" name="csrf-token" value="5487987542hhui67868" /> 我们会在会议的基础上提交表格。 如果攻击者找到我的表单并更改隐藏值并提交表单,则他将成功。 如何防止表单。您可以验证CRSF令牌,如果无效,您可以向用户返回错误 例如: if($_POST['crsf-token'] == $_SESSION['crsf-token'
<input type="hidden" name="csrf-token" value="5487987542hhui67868" />
我们会在会议的基础上提交表格。
如果攻击者找到我的表单并更改隐藏值并提交表单,则他将成功。
如何防止表单。您可以验证CRSF令牌,如果无效,您可以向用户返回错误 例如:
if($_POST['crsf-token'] == $_SESSION['crsf-token'] {
...
} else {
// error
}
如果攻击者使用相同的会话进行攻击,则将是重播攻击。我已经在使用您的逻辑防止重播攻击在第一次验证时取消$U会话['csrf-token']正确吗?