那些遇到过的问题

防止CSRF漏洞,CSRF令牌的替代方法

use*_*020 5 php csrf

防止CSRF的常见方法是使用隐藏在表单中的令牌。出于好奇,这是实际上预防CSRF的唯一方法吗?人们争论不需要CSRF令牌使我发疯,我需要了解原因。我还能如何防止CSRF攻击?

小智 1

实际上,使用 CSRF 令牌只是另一层防御。根据OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet,验证请求来源也可用于 CSRF 保护。为了验证来源,我们可以使用,

  1. 来源标头
    • Origin header包含发起请求的方案、主机和端口信息。
  2. 参考标头
    • Referer标头包含前一个网页的地址,从该地址可以链接到当前请求的网页。

然而,使用这种方法存在一些限制,例如标头的不可用性和完整性。攻击者可以通过多种方式更改这些标头的值。因此,建议始终保持多层防御。

归档时间:

查看次数:

412 次

最近记录:

8 年,7 月 前
相关归档
在Laravel迁移中使列不可为空 112
在HEREDOC字符串中调用PHP函数 88
如何进一步提高我对PHP的"高级"知识?(很快) 74
传递Javascript数组 - > PHP 61
PHPUnit模拟对象和静态方法 46
PHP从Array获得最高价值 46
mysqli - 我真的需要做$ result-> close(); &$ mysqli-> close();? 34
如何获取Woocommerce Product Gallery图片网址? 25
如何使用PHP/HTML将base64字符串(gif)解码为图像 19
Express +节点CSRF禁止使用 2
难疑归档
基于表单的网站身份验证的权威指南 5311
npm install的--save选项是什么? 1779
SCSS和Sass有什么区别? 1760
如何检查字符串"StartsWith"是否是另一个字符串? 1660
按值复制数组 1638
在Mac上查找(并终止)进程锁定端口3000 1595
命令折叠代码的所有部分? 1576
Python字符串格式:%vs. .format 1323
如何从GET参数中获取值? 1255
Ukkonen的简明英语后缀树算法 1065