第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號安全,請及時綁定郵箱和手機立即綁定

如果偽造token和相對應的加密cookie去提交表單,需要怎樣處理呢?

就是說在一個表單頁面審核元素時,獲取到表單的一次性token和相對應的加密cookie,用這一組數(shù)據(jù)去偽造表單提交,邏輯上也是可以成功的,請問應該怎樣處理呢?

正在回答

5 回答

大哥,你這么干,真防不住。

1 回復 有任何疑惑可以回復我~
#1

Julisky 提問者

<?php $token = 隨機數(shù); $_SESSION['token'] = $token; $_SESSION['token_time'] = time(); php程序比對表單token,然后再保險點,設置個token有效時間,其實就可以了;沒有必要去用token弄一個對應的加密cookie
2015-08-07 回復 有任何疑惑可以回復我~
#2

Julisky 提問者

非常感謝!
2016-06-30 回復 有任何疑惑可以回復我~

我覺得 cookie中的_csrf應該由 PHPSESSID進行某種算法算出,其它用戶拿到的_csrf數(shù)據(jù)在當前用戶中無法通過驗證。不然真的如Julisky說的那樣。

0 回復 有任何疑惑可以回復我~
#1

好好愛

糾正一下:應該是session_id(),而不是PHPSESSID。
2016-06-20 回復 有任何疑惑可以回復我~

其實在底下弄個iframe 里面是他的表單 然后拿iframe里面的值放入我們自己的表單 就可以發(fā)起攻擊了 是不是這個理

0 回復 有任何疑惑可以回復我~ 
if?(isset($_SESSION['token'])?&&?$_POST['token']?==?$_SESSION['token'])????
{????
??/*?Valid?Token?*/????
}
$token_age?=?time()?-?$_SESSION['token_time'];????
????if?($token_age?<=?300)????
????{????
??????/*?Less?than?five?minutes?has?passed.?*/????
????}


0 回復 有任何疑惑可以回復我~

首先,你得能夠偽造的出這些數(shù)據(jù),能夠偽造加密后的cookie是很難噠,如果偽造的出,那對于一些重要信息,可能就需要手機驗證碼之類的二次驗證來避免了。

0 回復 有任何疑惑可以回復我~

舉報

0/150
提交
取消
Yii框架不得不說的故事—安全篇(3)
  • 參與學習       17587    人
  • 解答問題       36    個

本教程主要講解Yii對4種流行攻擊方式的防范和處理

進入課程

如果偽造token和相對應的加密cookie去提交表單,需要怎樣處理呢?

我要回答 關注問題
微信客服

購課補貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網(wǎng)微信公眾號