相关疑难解决方法(0)

我有一个Web表单,我正在使用PHP.我知道表格可以被操纵(我相信它被称为重播攻击或中间人攻击).所以我想使用一些真实性令牌作为隐藏字段.

我所知道的威胁可能性是:

• 攻击者劫持了合法用户的形式(我相信这是中间人攻击)
• 合法用户本身就是攻击者:他获取表单,读取令牌但使用它发送危险数据(我相信这是重播攻击)

在我提出问题之前,如果我到目前为止所说的任何内容都不正确,请纠正我,因为也许我的理解是有缺陷的.

现在问题:

• 生成此令牌的最佳做法是什么,以便没有它的表单被拒绝(例如,salting？).
• 人们做了什么来确保令牌没有被重播.

基于评论的新小问题:

• 会话劫持与中间人攻击相同吗？

我经营一个游戏网站,所以我有很多用户登录,他们可以每两分钟做一次.

我有一个CAPTCHA系统,有些东西它总是要求代码,而对于其他东西,它会每10分钟询问一次.

我让一些玩家在Opera上使用自动提交功能,而我的CAPTCHA系统确实阻止了他们.

我的问题是,如何最小化我要求代码的次数,但仍然阻止人们使用此自动提交？

PHP有自己的Rails真实性令牌版本吗？

<meta name="csrf-token" content="<%= form_authenticity_token %>" />
<meta name="csrf-param" content="authenticity_token" />

如果没有,实现相同功能的最佳方法是什么？