那些遇到过的问题

什么是安全令牌,为什么在表单中使用它?

Sit*_*een 3 php security

我在许多论坛和其他网站上看到他们在 POST 或 GET 方法中使用安全令牌(长字符串)。例如(POST方法):

<input
    type="hidden"
    name="securitytoken"
    value="1363774829-89afb5d0fbcd2f8d55db0b675061d62bd21ca94e"
/>
Run Code Online (Sandbox Code Playgroud)

GET 方法示例:

http://www.example.com?attribute=xyz&token=f0ec0e8e1622a030cbc543d3ac42729e
Run Code Online (Sandbox Code Playgroud)

这个安全令牌是什么?为什么使用它?它提供什么类型的安全性?应该在哪里使用?

Nan*_*nne 7

它可能是防止“CSRF”(跨站点请求伪造)的令牌。

例如,

  • 您已登录论坛
  • 你去 evilhacker.com
  • evilhacker 有一个自动提交表单,可以向论坛发送垃圾邮件
  • 因为您已登录,所以您(以您的名义)发布了垃圾邮件。

但是因为论坛需要一些与您的会话相关联的令牌(因此 evilhacker 无法根据自己的形式猜测它),该帖子被拒绝并且您没有发布垃圾邮件。

如果你想看一些细节,请阅读这篇论文

归档时间:

查看次数:

2317 次

最近记录:

12 年,10 月 前
相关归档
如何在PHP中检查对象是否为空? 92
使用Facebook的Graph API将照片上传到相册 43
什么是Drupal的默认密码加密方法? 43
PHP卷曲和饼干 28
参数和选项之间有什么区别? 24
从PHP着色Windows命令行输出 21
为什么电子邮件需要信封,"信封"是什么意思? 16
盐,密码和安全 12
很好地理解CSRF的棘手问题 8
是否总是需要隐藏用户的mysql生成的id? 3
难疑归档
使用Git将最近的提交移动到新分支 4647
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
如何克隆特定的Git分支? 2804
如何在Bash中的分隔符上拆分字符串? 1885
如何仅列出两次提交之间更改的文件名? 1807
常规演员与static_cast与dynamic_cast 1661
在JavaScript中解析JSON? 1642
JavaScript中==和===之间的区别 1592
喜欢构成而不是继承? 1538
Python类继承对象 1095