一种最优方式防跨站表单提交,用户限时token
就是生成一个随机且变换频繁加密字符串(可逆和不可逆)。放在表单中,等到表单提交后检查。
这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。
对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了。不得不重写,这很糟糕的体验。因此,TTL过期时间应可设置。
下面是一个网上的不可逆的验证方式,值的推荐:
class Token{
CONST KEY = "your-secret-salt";
static $ttl = 3; //$ttl表示这个随机串的有效时间(秒)
static public function get($uid, $action = -1){
$i = ceil(time() / self::$ttl);
return substr(self::challenge($i . $action . $uid), -12, 10);
}
static public function verify($uid, $crumb, $action = -1){
$i = ceil(time() / self::$ttl);
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
return true;
return false;
}
static private function challenge($data){ //内部私有加密函数
return hash_hmac('md5', $data, self::KEY);
}
}
使用:
在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性。
<input type="hidden" name="crumb" value="<?php echo Token::get($uid)?>">
在PHP服务器接收端,这样检验。
<?php
if(Token::verify($uid, $_POST['token'])){
//按照正常流程处理表单
}else{
//校验失败,错误提示流程
}
摘自:http://www.vephp.com/jiaocheng/61.html