php – 跨站点请求伪造

我读了this tutorial,这给了一个很好的解释,以防止CSRF,但它仍然从我的大脑出去.根据方法一中的本教程,他们在每个请求中包含一个随机令牌.所以在形式上他们包括这样的东西：

<input type="hidden" name="<?php echo $token_id; ?>" value="<?php echo $token_value; ?>"

在提交表格后,他们正在检查令牌是否匹配.

它如何帮助预防CSRF？
当攻击者向用户发送恶意链接时,我很困惑,当用户点击它时,根据我的说法,令牌每次都会匹配.

解决方法:

页面中的令牌必须与存储在cookie(或会话)中的令牌相匹配.

设置cookie的站点知道该标记值是什么,并可以在表单中指定它.

第三方攻击者的站点无法知道该令牌值是什么,因此无法指定它.

您测试以查看cookie中的令牌是否与表单数据中的令牌匹配,如果他们不是您拒绝请求为CSRF.

标签：csrf-protection,php,csrf
来源： https://codeday.me/bug/20190825/1715575.html