php中防止偽造跨站請求的小招式

更新時間：2011年09月02日 14:21:07 作者：

偽造跨站請求比較難以防范，而且危害巨大，攻擊者可以通過這種方式惡作劇，發(fā)spam信息，刪除數(shù)據(jù)等等。

偽造跨站請求介紹
　　偽造跨站請求比較難以防范，而且危害巨大，攻擊者可以通過這種方式惡作劇，發(fā)spam信息，刪除數(shù)據(jù)等等。這種攻擊常見的表現(xiàn)形式有：
　　偽造鏈接，引誘用戶點擊，或是讓用戶在不知情的情況下訪問
　　偽造表單，引誘用戶提交。表單可以是隱藏的，用圖片或鏈接的形式偽裝。
　　比較常見而且也很廉價的防范手段是在所有可能涉及用戶寫操作的表單中加入一個隨機(jī)且變換頻繁的字符串，然后在處理表單的時候?qū)@個字符串進(jìn)行檢查。這個隨機(jī)字符串如果和當(dāng)前用戶身份相關(guān)聯(lián)的話，那么攻擊者偽造請求會比較麻煩。
　　yahoo對付偽造跨站請求的辦法是在表單里加入一個叫.crumb的隨機(jī)串;而facebook也有類似的解決辦法，它的表單里常常會有post_form_id和fb_dtsg。
　　隨機(jī)串代碼實現(xiàn)
　　咱們按照這個思路，山寨一個crumb的實現(xiàn)，代碼如下：

復(fù)制代碼代碼如下:

 
<?php 
class Crumb { 
CONST SALT = "your-secret-salt"; 
static $ttl = 7200; 
static public function challenge($data) { 
return hash_hmac('md5', $data, self::SALT); 
} 
static public function issueCrumb($uid, $action = -1) { 
$i = ceil(time() / self::$ttl); 
return substr(self::challenge($i . $action . $uid), -12, 10); 
} 
static public function verifyCrumb($uid, $crumb, $action = -1) { 
$i = ceil(time() / self::$ttl); 
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb || 
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb) 
return true; 
return false; 
} 
} 

代碼中的$uid表示用戶唯一標(biāo)識，而$ttl表示這個隨機(jī)串的有效時間。
　　應(yīng)用示例
　　構(gòu)造表單
　　在表單中插入一個隱藏的隨機(jī)串crumb

復(fù)制代碼代碼如下:

 
<form method="post" action="demo.php"> 
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>"> 
<input type="text" name="content"> 
<input type="submit"> 
</form> 

處理表單 demo.php
　　對crumb進(jìn)行檢查

復(fù)制代碼代碼如下:

 
<?php 
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) { 
//按照正常流程處理表單 
} else { 
//crumb校驗失敗，錯誤提示流程 
} 
?> 

相關(guān)文章

PHP單例模式模擬Java Bean實現(xiàn)方法示例
這篇文章主要介紹了PHP單例模式模擬Java Bean實現(xiàn)方法,涉及php面向?qū)ο蟪绦蛟O(shè)計相關(guān)操作技巧,需要的朋友可以參考下
2018-12-12
php實現(xiàn)查看郵件是否已被閱讀的方法
當(dāng)你在發(fā)送郵件時，你或許很想知道該郵件是否被對方已閱讀，下面有段不錯的代碼可以實現(xiàn)此需求，喜歡的朋友可以參考下
2013-12-12
修改php.ini實現(xiàn)Mysql導(dǎo)入數(shù)據(jù)庫文件最大限制的修改方法
這里介紹修改php.ini實現(xiàn)Mysql導(dǎo)入數(shù)據(jù)庫文件最大限制的修改方法,簡單說明了wampserver服務(wù)器上針對php.ini配置文件上傳限制參數(shù)、內(nèi)存限制參數(shù)以及post傳輸參數(shù)等修改方法,需要的朋友可以參考一下
2007-12-12
PHP里8個鮮為人知的安全函數(shù)分析
這篇文章主要介紹了PHP里8個鮮為人知的安全函數(shù),較為詳細(xì)的分析了addslashes、htmlentities、htmlspecialchars及md5等函數(shù)在PHP程序設(shè)計安全中所起到重要作用,非常具有實用價值,需要的朋友可以參考下
2014-12-12
php5編程中的異常處理詳細(xì)方法介紹
比較詳細(xì)的關(guān)于php5的異常處理方法，而且給出了，多種方法
2008-07-07
利用phpexcel對數(shù)據(jù)庫數(shù)據(jù)的導(dǎo)入excel（excel篩選）、導(dǎo)出excel
本篇文章主要介紹了利用phpexcel對數(shù)據(jù)庫數(shù)據(jù)的導(dǎo)入excel（excel篩選）、導(dǎo)出excel的相關(guān)知識。具有很好的參考價值。下面跟著小編一起來看下吧
2017-04-04
php圖片上傳存儲源碼并且可以預(yù)覽
php圖片上傳存儲源碼并且可以預(yù)覽，學(xué)習(xí)php的朋友可以參考下。
2011-08-08
PHP實現(xiàn)大數(shù)(浮點數(shù))取余的方法
這篇文章主要介紹了PHP實現(xiàn)大數(shù)(浮點數(shù))取余的方法,結(jié)合實例形式分析了php數(shù)學(xué)運算相關(guān)操作技巧,需要的朋友可以參考下
2017-02-02
PHP使用token防止表單重復(fù)提交的方法
這篇文章主要介紹了PHP使用token防止表單重復(fù)提交的方法,通過生成一個加密后的隨機(jī)數(shù)存入session的token變量,同時將該值放入表單隱藏提交,達(dá)到防止表單重復(fù)提交的功能,需要的朋友可以參考下
2016-04-04
在PHP程序中運行Python腳本(接收數(shù)據(jù)及傳參)的方法詳解
這篇文章主要為大家詳細(xì)介紹一下，如何在php程序中運行Python腳本以及如何使用python返回josn數(shù)據(jù)供php使用，感興趣的小伙伴可以了解一下
2022-09-09