代码之家 › 专栏 › 技术社区 › Samuel

以不同网站上的表单处理文件为目标

forms php

Samuel · 技术社区 · 14 年前

假设我有一张表格 <form action="delete_post.php" method="post">...</form> 在我的网站上: http://mysite.com 还有文件 action/delete_post.php 删除与表单中给定的ID匹配的日志。

是否有人尝试使用以下表单从我的网站中删除随机文章:

<form action="http://mysite.com/action/delete_post.php' method="post">...</form>

并且传递他想要删除的帖子的ID(仅仅是为了取笑邪恶或者对并发的网站造成损害之类的)?

你可以想象有人可以做的一大堆事情,比如针对你的表单处理文件,那么我需要保护我的文件不受这种威胁吗?

1 回复 | 直到 14 年前

MightyE 14 年前

是的,这种类型的攻击称为跨站点请求伪造(CSRF),许多站点都容易受到攻击。

阻止这种攻击的常见方法是使用随机生成的表单令牌(甚至类似于 md5(microtime(true)) 就足够了)。在用户会话中保留最近有效表单令牌的列表,并在使用后销毁它们(仅保留最近的5或10个)。如果用户没有有效的表单标记,不要让该操作完成。

推荐文章

Natalie Smyth · 隐藏类只在我试图切换的两个部分中的一个部分上工作

1 年前

Maddison · 如果用户选择18岁以下,则需要表单重定向用户

2 年前

Maddison · 拆分用户全名并将名字传递给下一个表单pae

2 年前

Santiago Cuartas Rmrz · 使用Javascript根据密码输入长度启用/禁用按钮

2 年前

BABO SAMMO NG · 如何延迟javascript警报直到操作完成

2 年前

Germán · 单击提交时,如果文本字段错误匹配,则显示错误提示

2 年前

Shikhor Khan · 如何从下面的代码中删除提交后的表单值?

2 年前

Adheed nihal · 如果在jquery中超过了文件限制,如何清除用户上传的图像

2 年前

inyourface3445 · 更改表单中的值会导致延迟

2 年前

Filippo · 无法输入:焦点覆盖默认设置

2 年前