代码之家  ›  专栏  ›  技术社区  ›  RobertPitt

注销哈希,如何处理?

logout hash security php
  •  4
  • RobertPitt  · 技术社区  · 14 年前

    注销散列通常在PHP中处理的方式是什么?

    在很多网站上,通常有注销散列来确认注销的用户是正确的用户,这通常是如何处理的?

    实例 

    http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5

    nil4ytwojytjwoytjwy5tw5 作为散列

    只是我研究的一个更新,以便其他人可以看到这是如何工作的。

    我发现这种攻击主要用于Xero字节图像和iframe等。

    如果您登录了站点A,并且还浏览了站点B,那么站点B填缝处会显示一个图像标签: 

    <img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />

    而且由于请求实际上来自合法的登录用户,所以请求被处理。

    通过在重要表单(如转账账户、注销等)中添加验证值,黑客无法获得该值,因此请求将不会被执行!

    谢谢你的帮助

    1 回复  |  直到 14 年前
        1
  •  2
  •   rook    14 年前

    这是为了 Stop CSRF . 该值是一个“csrf令牌”,它是一个加密nonce(随机数),存储为会话变量。检查以确保请求来自同一站点,而不是来自攻击者站点的伪造请求。

    推荐文章
    Jacco  ·  未能格式化我的日期以在php中正确工作
    1 年前
    darshita_baldha  ·  如何在Laravel组件中传递数组变量?
    1 年前
    nitroflox  ·  在php中删除带有安全和httponly选项的cookie值得吗?
    1 年前
    Community wiki  ·  在OOP中,依赖项是否应该包含对其父项的引用?
    1 年前
    Arno van Oordt  ·  存储在MonogoDB中时将类实例转换为字符串
    1 年前
    Jaime Montoya  ·  访问器魔术方法在PHP 8中不起作用[重复]
    1 年前
    jay ram  ·  如何在URL核心php中从API获取JSON?
    1 年前
    Endricho Folabessy  ·  我在Laravel 10中的一对一关系有什么错误
    1 年前
    pernifloss  ·  如何在使用电子邮件时保持Outlook邮件未读trhough pop3
    1 年前
    Ishwarya A  ·  php电子表格在浏览器中显示多张excel
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号