最近在写php，项目写完后送检发现一个漏洞问题CSRF，强行拖了我一天的时间，沉迷解决问题，茶饭不思，日渐消瘦，时间比较赶，这篇比较糙，凑合看下。

好了废话不多说下面是今天的解决方案。

博主用的是Thinkphp框架，发现这个问题的时候第一件事就是去查下相关资料，发现发现网上说可以通过表单令牌来解决这个问题。

如果不设置表单令牌，很容易导致CSRF（跨站请求伪造）、跨站提交表单。

表单令牌是一种非常实用的技术（博主ps：其实鸡肋），它在表单的视图部分生成随机令牌，默认为随机的MD5串，存在hidden的input中。在表单数据提交前，将提交的数据与SESSION中存放的令牌进行比对，从而判断是否是跨站提交。

ThinkPHP中开启表单令牌的方式比较简单，在config中进行配置（博主的路径：项目/Home/Conf/config.php）：

        'TOKEN_ON'=>true,  // 是否开启令牌验证

    'TOKEN_NAME'=>'__hash__',    // 令牌验证的表单隐藏字段名称

    'TOKEN_TYPE'=>'md5',  //令牌哈希验证规则 默认为MD5

    'TOKEN_RESET'=>true,  //令牌验证出错后是否重置令牌 默认为true    

添加完成上面的代码后还需要在tags.php配置一波。ps：有的小伙伴没有tags.php可以在项目/Common/Conf目录下新建一个tags.php插入以下代码

<?php

return array(

    //'配置项'=>'配置值'

    'view_filter'=>array('Behavior\TokenBuildBehavior'),

);

然后你就可以在你的所有表单页面看到

<input type="hidden" name="__hash__" value="11f6b3285bf71a87811c3dadccb7b166_c6694a7c3a76bbf9ac7bf66a77d87310" />这个。

如果你只想在部分页面的表单加入表单令牌你可以：

C(‘TOKEN_ON’,false);

$this->display();

配置完成后在你的表单提交地址指向的方法里面加入下面代码：

if(!$Data->autoCheckToken($_POST)){

           $this->error('非法登陆！');

           }

上面的$Data是model

今天先写到这里要写代码了。

CSRF跨站点请求伪造漏洞问题的更多相关文章

1. 密码学系列之:csrf跨站点请求伪造

   目录 简介 CSRF的特点 CSRF的历史 CSRF攻击的限制 CSRF攻击的防范 STP技术 Cookie-to-header token Double Submit Cookie SameSite ...

2. Python Django框架笔记（四）：数据分页和CSRF跨站点请求伪造

   (一)数据分页  可以参考  https://docs.djangoproject.com/en/2.0/topics/pagination/ 模板:如果只要显示 1.2.3.4.5.6....的话, ...

3. csrf跨站点请求伪造

   什么是csrf(跨站请求伪造) 伪造请求的定义有很多种,我将不是用户本意发出的请求统称为伪造请求(在用户不知情的情况下执行某些操作)xss的通过用户对浏览器的信任造成的,csrf是通过服务器对浏览器的 ...

4. python---xss(Cross Site Scripting)跨站脚本攻击和csrf(xsrf)跨站点请求伪造(Cross—Site Request Forgery)攻击

   xss跨站脚本攻击:恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的. 例如:某些论坛允许用户*发言,而 ...

5. Appscan漏洞之跨站点请求伪造（CSRF）

   公司前段时间使用了Fortify扫描项目代码,在修复完这些Fortify漏洞后,最近又启用了Appscan对项目代码进行漏洞扫描,同样也是安排了本人对这些漏洞进行修复.现在,针对修复过的Appscan ...

6. 跨站点请求伪造（CSRF）

   一.前言 跨站点请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动 ...

7. 跨站点请求伪造（CSRF、XSRF）

   相关文章: 1. http://www.cnblogs.com/xiaoqian1993/p/5816085.html  深入解析跨站请求伪造漏洞:原理剖析 2 .http://blog.csdn.n ...

8. 跨站点请求伪造（CSRF）学习

   一.CSRF介绍 伪造一个站点,在站点中伪造一个向其他站点的请求,在用户访问该站点时让用户执行 假设有如下URL能删除一篇文章: 攻击者在自己的域中构造一个页面: 内容为: 使用一个img标签,其地址 ...

9. asp.net mvc 安全测试漏洞 "跨站点请求伪造" 问题解决

   IBM Security Appscan漏洞筛查-跨站请求伪造,该漏洞的产生,有多种情况: 1.WebApi的跨站请求伪造,需要对WebApi的请求头部做限制(此文不做详细介绍): 2.MVC Act ...

随机推荐

1. Ubuntu16.04安装docker

   1.检查内核版本uname -r,如果是16.04则可以跳过这一步,因为docker只能运行在64-bit linux 内核3.10或高于3.10的系统中. 2.更新apt sources sudo  ...

2. [技术学习]js正则表达式汇总

   一.常用正则表达式关键字 ".":任意字符 "*":任意个数 "+":任意个数,至少一个 "?":0-1个 " ...

3. 如何引入一个Schema 文件

   Schema(掌握如何引入一个schema文件)    * 名称空间 : 指的是一个环境,所用的标签来自于哪个环境定义的.    * 掌握引用schema文件:             xml中引入s ...

4. DTrace Probes in HotSpot VM----java

   http://docs.oracle.com/javase/6/docs/technotes/guides/vm/dtrace.html http://docs.oracle.com/javase/7 ...

5. C#_02.16_基础七_.NET表达式&运算符

   C#_02.16_基础七_.NET表达式&运算符 一.字面量: 字面量和变量的关系来理解字面量会比较简单: 因此字面量是源代码中键入已知的(我们知道它是多少的)值.也可以理解是等号右边的非创建 ...

6. CRM原型

   https://files.cnblogs.com/files/wcLT/CRM.zip

7. android延时弹出软键盘

   searchEditView.setFocusable(true); searchEditView.setFocusableInTouchMode(true); searchEditView.requ ...

8. 一个简单的增强型PHP curl函数

   啥都不说,先上代码 <?PHP /* * @author 小伍 */ echo "<pre>"; $proxy = array('url'=>'http:/ ...

9. python文件操作，读取，修改，合并

   # -*- coding:utf-8 -*- ''' 从11c开始提取 ''' import re import numpy as np import os year = '17A' ss=&quot ...

10. &lbrack;Swift&rsqb;字符串&lpar;String类、NSString类&rpar;常用操作

    NS是Cocoa类对象类型的前缀,来源于乔布斯建立的另一家公司--NeXTNSString的使用方法,和Swift语言中的String有很多相似之处. 1.字符串的定义String类 var str1 ...