Php 防止CSRF漏洞,CSRF令牌的替代方法
防止CSRF的一种常见方法是使用隐藏在表单中的令牌。出于好奇,这是预防CSRF的唯一方法吗?人们争论不需要CSRF令牌让我发疯,我需要理解为什么。我怎样才能防止CSRF攻击?实际上,使用CSRF令牌只是另一层防御。根据,验证请求来源也可用于CSRF保护。为了验证我们可以使用的来源Php 防止CSRF漏洞,CSRF令牌的替代方法,php,csrf,Php,Csrf,防止CSRF的一种常见方法是使用隐藏在表单中的令牌。出于好奇,这是预防CSRF的唯一方法吗?人们争论不需要CSRF令牌让我发疯,我需要理解为什么。我怎样才能防止CSRF攻击?实际上,使用CSRF令牌只是另一层防御。根据,验证请求来源也可用于CSRF保护。为了验证我们可以使用的来源 原点标题 包括启动请求的方案、主机和端口的信息 参考标题 包含上一个网页的地址,从该网页链接到当前请求网页 然而,使用这种方法有一些限制,例如标头的不可用性和完整性。攻击者可以通过多种方式更改这些头的值。因此,
- 包括启动请求的方案、主机和端口的信息
- 包含上一个网页的地址,从该网页链接到当前请求网页
然而,使用这种方法有一些限制,例如标头的不可用性和完整性。攻击者可以通过多种方式更改这些头的值。因此,建议始终具有多层防御 你应该在谷歌上搜索CSRF OWASP并阅读他们的指南。CSRF令牌基本上是防止CSRF的最有效方法。